3.1 Décryptage du RGPD

TABLE DES MATIÈRES

• 3.1.1 L’origine éthique du RGPD : pourquoi a-t-on besoin de protéger les données personnelles ?
• 3.1.2 Quels sont les principes généraux du RGPD ?
• 3.1.3 La base légale de collecte dans le secteur humanitaire
  • i. Les impératifs humanitaires à respecter, indépendamment de la base légale
    • a. Informer sur les activités dans lesquelles s’inscrivent la collecte
    • b. Obtenir le consentement à l’intervention
  • ii. Le consentement : une base légale sur-utilisée ?
    • a. Qu’est-ce que le consentement éclairé ?
    • b. Quand est-ce que le consentement est à exclure ?
    • c. Quand est-ce que le consentement est recommandé ?
  • iii. Les autres bases légales à privilégier
    • a. La sauvegarde des intérêts vitaux
    • b. L’intérêt légitime
  • iv. Outils pour vous aider à déterminer la base légale la plus appropriée ?

---

Un des grands concepts de la gestion responsable des données est la protection des données personnelles. Collecter, utiliser et produire des données personnelles n’est pas sans risque, surtout pour les personnes à qui elles appartiennent. Cette responsabilité est encadrée par des lois, différentes selon les pays, parfois non existantes. En Europe, il existe une réglementation : le Règlement Général sur la Protection des Données, le fameux « RGPD ».

Les acteurs de la solidarité internationale disposent de beaucoup de données personnelles dans le cadre de leurs projets et de la mise en œuvre des activités, les rendant responsables de leur bonne utilisation. C’est pourquoi le secteur humanitaire est aussi concerné par le RGPD. Cette section vise à décrypter cette règlementation, parfois perçue uniquement comme une contrainte, comprendre l’essentiel de ses mesures et pouvoir avoir des orientations claires sur la protection des données applicables sur le terrain.

3.1.1 L’origine éthique du RGPD : pourquoi a-t-on besoin de protéger les données personnelles ?

La protection des données est un droit fondamental qui découle du droit à la vie privée des personnes concernées, afin de conserver leur intimité et leur dignité. Ce droit fondamental peut être mis en balance avec la nécessité de traiter des données personnelles, par exemple dans le secteur, afin de déterminer les destinataires d’une intervention humanitaire ou respecter ses engagements contractuels avec son bailleur de fonds.

Pour s’assurer que l’équilibre entre ces deux intérêts soit juste et face également au développement de la technologie et la généralisation de leur usage pour collecter et partager des données, la législation européenne a évolué pour encadrer le sujet.

L’Union européenne (UE) a adopté le RGPD (règlement général relatif à la protection des données) en mai 2018, pour mettre en pratique plus de cohérence et de solidité dans les règles de protection des données des différents Etats membres et permettre aux personnes de connaitre l’usage qu’il est fait de leurs données. Les obligations des organismes – telles les ONG- qui collectent leurs données sont renforcées afin de protéger plus efficacement les droits fondamentaux des personnes.

Bien qu’elle ne soit pas toujours applicable à tous les contextes d’intervention des ONG, nous la prenons ici comme exemple car elle demeure la législation la plus protectrice, gardons néanmoins en tête que la protection des données telles qu’elle est envisagée en UE est une construction sociale, et que son application bête et méchante n’est pas forcément possible dans tous les pays d’intervention des ONG, en fonction du cadre légal local et également du contexte socio-culturel. À chaque ONG d’appliquer comme elle peut une démarche responsable en la matière en prenant en compte ses obligations diverses (législation, gouvernements, bailleurs, mais surtout populations destinataires de l’aide) et sa marge de manœuvre opérationnelle dans son contexte d’intervention.

3.1.2 Quels sont les principes généraux du RGPD ?

Le principe général du RGPD est de protéger les données personnelles et sensibles face aux traitements non respectueux des droits des individus. Il s’applique à tous les traitements des données personnelles et sensibles associés.

Pour comprendre ce qu’est un « traitement » de la donnée, connaitre et distinguer les « données personnelles » et « données personnelles sensibles, vous pouvez regarder cette capsule :

Dans le RGPD, l’expression « personne concernée », que l’on utilise aussi dans cette section, désigne la personne dont on obtient les informations personnelles, comme le nom, prénom, voire dans certains cas des informations sensibles comme son état de santé ou son appartenance ethnique par exemple.

Les règles du RGPD sont fondées sur plusieurs principes éthiques, en lien avec la gestion responsable des données, qui assurent un degré élevé de protection des droits fondamentaux des personnes concernées. Le respect de ces principes permet d’améliorer les pratiques auprès des populations destinataires de l’aide.

Pour connaitre et comprendre ces principes, vous pouvez vous référer à la capsule suivante :

3.1.3 La base légale de collecte dans le secteur humanitaire

Pour pouvoir collecter et traiter des données, il est nécessaire de choisir une « base légale », qui justifie les raisons du traitement (cf. principe de licéité abordé dans la section précédente).

i. Les impératifs humanitaires à respecter, indépendamment de la base légale

a. Informer sur les activités dans lesquelles s’inscrivent la collecte

Quelque soit la base légale choisie pour collecter les données personnelles, dans le cadre d’un projet de distribution ou d’activités de sensibilisation par exemple, il est essentiel au regard du devoir de redevabilité vis-à-vis des personnes concernées et de leur libre-arbitre, de leur fournir des informations sur celui-ci. Ces informations doivent concerner :

• la nature et les objectifs du projet, par exemple : le contexte du projet, ses partenaires et bailleurs de fonds
• les objectifs spécifiques du projet
• les possibilités de participer ou non au programme pour les populations.

Il est important de les divulguer de manière intelligible, en prenant en compte l’environnement spécifique de la personne et particulièrement le contexte social, culturel, familial et individuel. Par exemple, en évitant d’utiliser des termes s’appuyant sur des concepts abstraits loin des réalités de la personne, comme la licéité du traitement ou la gouvernance des données, ou en utilisant un niveau de langage non approprié (soutenu par exemple).

b. Obtenir le consentement à l’intervention

Dans cette partie sur le consentement, nous traiterons du consentement spécifique à la collecte et à l’utilisation des données personnelles. Ce consentement est à distinguer du consentement concernant l’intervention elle-même, c’est-à-dire s’assurer que la personne souhaite bien participer au programme d’assistance. Il est bien entendu également à obtenir, même dans des contextes de besoins urgents, pour respecter la volonté des personnes.

Le consentement concernant l’intervention et le consentement à la collecte et l’utilisation des données sont parfois difficilement dissociables. En effet, le consentement à la collecte de données personnelles est souvent tributaire de la participation à l’intervention. Par exemple, la distribution d’aide alimentaire à un groupe de personnes ciblées, sur une zone d’intervention très peuplée, nécessitant de connaitre les noms et prénoms des personnes destinataires, afin de savoir à quelles personnes les distribuer et leur permettre de participer.

À l’inverse, parfois le consentement à l’intervention ne nécessite pas de collecte de données personnelles. Par exemple, la distribution de kit d’hygiène dans une petite communauté isolée, par une organisation disposant de moyens suffisants pour en distribuer à l’ensemble de ses membres.

Voici un arbre à décisions, pour vous aider à prendre en compte au besoin les deux types de consentement. Ce schéma n’est pas une représentation exhaustive de l’ensemble des situations particulières et variables sur le terrain, mais il représente la distinction entre le consentement à l’intervention et celui à la collecte et l’utilisation des données personnelles. Il s’inscrit dans les recommandations livrées dans cette section, à savoir respecter l’obligation d’information des personnes affectées et les informations et conseils sur le consentement à la collecte, décrits dans la sous-section suivante.

ii. Le consentement : une base légale sur-utilisée ?

a. Qu’est-ce que le consentement éclairé ?

Dans cette sous-section, la question de quand utiliser le consentement en tant que base légale de collecte est abordé; comment l’appliquer est abordé dans le pilier humain et les populations affectées.

Le consentement comme base légale à la collecte et au traitement de données doit être « éclairé » pour être valide. Cela signifie que l’accord de la personne doit se manifester par « un acte positif clair » (selon le RGPD) et être donné de manière libre de toute contrainte, c’est-à-dire sans le sentiment que son refus pourrait lui être préjudiciable. Le consentement doit également être informé, c’est-à-dire que la personne doit connaitre des informations sur la collecte et l’utilisation de ses données pour pouvoir se prononcer.

Voici les conditions à réunir pour obtenir un consentement « éclairé », issues de l’article sur le consentement du Data Handbook rédigé par the Engine room (disponible uniquement en anglais) :

• Donner des informations spécifiques sur l’objectif de la collecte et du traitement de la donnée personnelle et des risques associés. Cela comprend les informations sur:
  • la nature et les objectifs du projet, tel décrit dans la section précédente
  • la nature et l’objet de la collecte
    • La finalité précise de la collecte et du traitement des données qui seront récoltées
  • l’utilisation des données envisagée en interne de l’organisation et en externe, et en particulier :
    • cerner leur utilisation, leur durée de conservation…
    • le partage ou non des données ; si c’est le cas, comment le partage sera effectué
  • les risques que l’utilisation des données peut poser, sur la base du DPIA / de l’analyse des risques réalisée (voir sous-section 5.1) - en réfléchissant au bon niveau d’ informations à livrer pour que les personnes concernées puissent donner leur accord ou non, sans surcharge d’informations.
  • les droits des personnes à retirer leur consentement/ revoir leurs données
• Vérifier la capacité des personnes à comprendre les enjeux en question
  • L’information doit être fournie de manière facilement compréhensible, sans jargon
  • La possibilité d’avoir des réponses à leurs questions doit être donnée aux participant.es
• Vérifier la volonté de participer des personnes concernées
  • Leur consentement doit manifester une volonté
  • Leur consentement doit être libre de toute coercition ou de promesses
  • Idéalement n’impliquer que des personnes qui n’ont pas de pouvoir sur les personnes concernées, ce qui est difficile voire impossible dans certains contextes

Vous pouvez consulter ce modèle de procédure standardisée sur le consentement éclairé issu et mis en place chez Solidarités International lorsque vous recueillez le consentement de personnes.

b. Quand est-ce que le consentement est à exclure ?

Nous avons vu les conditions à réunir pour que le consentement soit éclairé. Il est clair que les acteurs de la solidarité internationale utilisent bien plus le consentement comme base légale de collecte qu’il n’y a de situation où l’ensemble de ces conditions sont réunies. La situation de vulnérabilité dans laquelle se trouvent souvent les personnes destinataires de l’aide, due à l’urgence de leurs besoins par exemple- qui peut les encourager à dire oui sans réfléchir- est trop peu prise en compte. Utiliser le consentement dans ce type de contexte est donc inapproprié, donnant l’impression de prendre l’approche facile pour se justifier plutôt que d’être dans une vraie démarche de consentement éclairé.

Le degré de vulnérabilité peut se mesurer avec les éléments suivants:

• en lien direct avec la personne concernée : état de santé / inanition / besoin, situation de handicap, genre, niveau d’alphabétisme,
• accessibilité de la personne : zone reculée, incarcération, absence de liberté de mouvement,
• environnement social, culturel, communautaire, religieux : appartenance ethnique, respect de normes sociales,
• autres facteurs à prendre en compte : difficulté de compréhension liée à l’utilisation d’une langue étrangère, de concepts, de nouvelle technologies complexes

En situation de vulnérabilité, un déséquilibre se forme et les personnes sont/se sentent contraintes){: .text-orange } d’accepter le traitement de leurs données pour recevoir de l’aide, qui est nécessaire, voire vitale. Il leur est donc difficile – et cela serait hypocrite de penser que c’est possible- de donner leur consentement « éclairé » à la collecte et l’utilisation de leurs données personnelles.

C’est pourquoi il est recommandé pour les ONG de se questionner sur la base légale de collecte utilisée et de privilégier bien plus souvent d’autres bases légales que le consentement pour le traitement des données personnelles. Sa validité n’est en effet pas suffisamment solide et nécessite un ensemble de conditions rarement réunies sur le terrain.

c. Quand est-ce que le consentement est recommandé ?

Si vous pensez que les conditions d’un consentement « libre, spécifique, éclairé et univoque » (selon le RGPD), telles qu’abordées dans la section précédente, sont réunies pour la collecte envisagée, alors vous pouvez bien entendu l’utiliser comme base légale pour collecter et utiliser les données personnelles.

Il existe néanmoins des situations où le consentement reste absolument la base légale à utiliser : lorsque les données à collecter sont sensibles, comme par exemple : la captation de photos, de vidéos ou de témoignages sur des sujets sensibles ou des données biométriques, comme les empreintes digitales.

En raison des forts enjeux de protection de données associés à ces types de données, il est fortement conseillé de tout faire pour que les conditions soient réunies et donc d’obtenir le consentement des personnes pour recueillir et utiliser leurs données personnelles sensibles, ou alors de faire le choix de ne pas collecter les données. Pour ce type particulier de données, le consentement doit être explicite, c’est-à-dire être une déclaration expresse (si possible, écrite).

Lorsque le consentement est recueilli, il y a des obligations à suivre afin que le consentement soit respectueux de la volonté des personnes et pour attester qu’elles ont bien consenti. Il incombe à l’organisation :

• d’enregistrer le consentement, afin de démontrer sa bonne validité et de l’actualiser régulièrement
• de documenter les conditions dans lesquelles le consentement a été recueilli, notamment en justifiant que l’information a bien été fournie à la personne
• de mettre en place les moyens (par exemple via des mécanismes de plaintes) pour que les personnes puissent exercer leurs droits, notamment le droit de retrait de leur consentement

iii. Les autres bases légales à privilégier

Dans les collectes où le consentement ne peut être appliqué, les ONG peuvent privilégier l’intérêt légitime ou la sauvegarde des intérêts vitaux de la personne. Cela implique néanmoins que les ONG doivent informer les personnes concernées sur l’objectif de la collecte de leurs données personnelles et leur utilisation. La demande de consentement à l’intervention elle-même auprès des populations fait également partie de la responsabilité des acteurs de la solidarité internationale.

a. La sauvegarde des intérêts vitaux

La sauvegarde des intérêts vitaux d’une personne peut être utilisée lorsque le traitement est nécessaire pour répondre aux besoins essentiels d’un individu ou d’une communauté, pendant ou après une urgence humanitaire.

Cette base légale peut s’appliquer lorsqu’il n’est pas possible d’obtenir le consentement, et où il peut ne pas être clair si la vie, la sécurité, la dignité et l’intégrité de la personne concernée ou d’autres personnes est en jeu.

Exemples de situations dans lesquelles cette base peut être utilisée pour l’ONG :

• Elle aide une personne inconsciente ou à risque, mais incapable de communiquer son consentement,
• Le traitement des données est nécessaire pour répondre aux besoins essentiels d’un individu ou d’une communauté pendant ou après une urgence humanitaire,
• Elle s’occupe des cas de personnes recherchées,
• Elle aide les autorités à identifier les restes humains et / ou à retrouver la famille du ou de la défunt·e. Dans ce cas, les données personnelles seraient traitées dans l’intérêt vital des membres de la famille,
• Elle fournit des soins médicaux ou une assistance,
• Le traitement, y compris la divulgation, d’informations est la réponse la plus appropriée à une menace imminente contre l’intégrité physique et mentale des personnes concernées ou d’autres personnes.

b. L’intérêt légitime

Les ONG peuvent choisir cette base légale lorsque le traitement des données poursuit un intérêt légitime, qui a un impact limité sur les droits fondamentaux de la personne concernée et qui correspond à ses attentes raisonnables sur le traitement de ses données. Les attentes raisonnables signifient que « le traitement des données ne doit pas surprendre les personnes » concernées (pour aller plus loin sur cette base légale, la CNIL a défini de manière détaillée cette base légale) : ces attentes « constituent un élément de contexte dans l’évaluation des éléments en présence ».

Autrement dit, lorsque les ONG estiment que le traitement est « nécessaire », l’intérêt légitime peut être utilisé. Le terme « nécessaire » doit être interprété strictement (et non simplement pour atteindre l’objectif visé).

Voici quelques exemples de situations dans lesquelles une ONG peut choisir l’intérêt légitime, lorsque le traitement des données est nécessaire à l’accomplissement efficace de sa mission, pour assurer la sécurité des systèmes d’information et de l’information, et la sécurité des services associés ou pour anonymiser ou de pseudonymiser des données personnelles.

iv. Outils pour vous aider à déterminer la base légale la plus appropriée ?

Pour vous aider à determiner si le consentement est la base légale la plus appropriée à votre situation, voici un outil crée par ACF que nous avons adapté, qui permet de répondre à cette question, selon l’activité de traitement des données en question.

12 situations dans lesquelles le consentement n’est PAS valable dans le cadre d’un traitement de données :

• L’opération de collecte des données est en lien avec une opération vitale / d’urgence
• L’opération de collecte est nécessaire / indispensable à la distribution de l’aide
• Les conditions logistiques et sécuritaires qui prévalent dans la zone d’opérations ne permettent pas à l’ONG d’informer les personnes et d’obtenir le consentement
• Les personnes ne sont pas en capacité d’être informées du traitement de leurs données (analphabétisme, environnement inconnu, langues étrangères, technologies complexes…)
• Les personnes concernées ne sont pas en mesure de donner leur consentement (personnes déplacées, protégées en vertu du DIH, portées disparues, inconscientes…)
• Les personnes concernées sont mineures, sauf si elles sont accompagnées d’une personne adulte tutrice légale, qui peut donner son consentement
• Les personnes concernées ne sont pas en mesure de donner leur consentement : par exemple, un facteur est susceptible de supprimer leur capacité de discernement comme un âge très avancé
• La personne concernée ne peut pas donner son consentement de manière libre
• La personne concernée ne peut pas révoquer son consentement sans impacter la fourniture de service
• La collecte du consentement ne peut être documentée (avoir une traçabilité)
• Le refus de la personne entraîne une conséquence négative sur l’assistance

Il est également possible de créer un outil propre à chaque organisation pour aider à déterminer le choix de la base légale, en fonction du type d’activité du traitement et de la catégorie de données (existence ou non de données sensibles)