Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen

Qu'est-ce que la collecte de données dans le contexte du RGPD ? L'un des principaux termes de la gestion des données

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI
📄 Article au format PDF
📄 Article au format PDF (uniquement pour les abonnés à la newsletter)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

La traitement des données commence dès la collecte de données personnelles. La collecte de données est l'activité de traitement la plus précoce. Dès lors, une responsabilité en vertu du RGPD avec un certain nombre d'obligations peut déjà surgir. Seul celui qui collecte les données peut être responsable. Mais qu'est-ce que recueillir des données signifie ?

Pourquoi est la collecte de données un concept important ?

L'exploitation de données est synonyme du traitement de données. Seul celui qui traite des données à caractère personnel ou incite quelqu'un d'autre à le faire peut en être responsable (et souvent, lorsqu'on détermine la finalité et les moyens).

Qui est responsable au sens de la RGPD, doit se conformer aux prescriptions de la RGPD. Il est donc très important de savoir ce que signifie Erheben von Daten. Le texte législatif de la réglementation sur la protection des données ne définit rien à cet égard.

Les termes suivants sont introduits par moi pour expliquer ce que l'on entend par collecte de données:

  • Adresse
  • Conteneur (au sens de boîte aux lettres ou tampon)
  • Collecter
  • Offre

Sûrement vous vous étonnez maintenant de certains de ces termes dans le contexte de la collecte de données. En particulier, le terme du conteneur, que je présente ici, devrait être nouveau dans les milieux de protection des données, à l'exception de la destruction d'actes. Les autres termes ne figurent pas (ou ne sont mentionnés que très partiellement) dans le texte législatif de la RGPD. Peut-être est le terme boîte aux lettres mieux compréhensible, bien qu'il soit trop concret et donc vague.

Ce billet vise à fournir des informations qui ont été communiquées à un responsable et non celles que le responsable a pris soin de s'obtenir lui-même.

Délimitation.

Nous distinguerons ensuite entre Datenerhebung et Verantwortlichkeit. La Datenerhebung en soi n'est pas encore un problème de protection des données, mais ce sera probablement le cas lorsque surgira une responsabilité. Une responsabilité ne peut exister que si il y a eu une Datenerhebung. Ne pas être responsable d'une Datenerhebung équivaut à ne pas avoir de responsabilité.

Introduction

Dans l'Article 4, n° 2 du RGPD, le traitement de données est défini par

L'élévation, la capture, l'organisation, le classement, le stockage, l'adaptation ou la modification, la lecture, la consultation, l'utilisation, la divulgation par transmission, diffusion ou toute autre forme de mise à disposition, la comparaison ou la liaison, la restriction, la suppression ou la destruction

Définition du concept de traitement de données conformément à l'article 4, paragraphe 2 du RGPD.

Dans les textes juridiques anglais, le mot collection (de to collect) est utilisé pour recueillir.

Dans le texte de la loi, on ne trouve aucune définition du terme "recueillir". Par conséquent, j'ai dû écrire cet article pour apporter une clarification.

Dans cet article, seuls les recensements de données personnelles dans le domaine non privé sont examinés, qui se déroulent soit automatiquement ou partiellement automatiquement, soit sont stockées dans un système de fichiers ou doivent l'être. Cela correspond à la zone d'application réglementée par Article 2 DSGVO de la Règlementation générale sur la protection des données, excluant les exceptions mentionnées au chapitre 2.

La collecte de données est la première activité de traitement

Il est notable que les activités qui nécessitent un traitement sont données dans une séquence ordonnée. L'ordre consiste en ce que l'activité mentionnée en premier, le relevé, est la première activité possible du traitement et que toutes les autres procédures de traitement sont ultérieures.

Les trois activités mentionnées dans le texte de la loi qui viennent ensuite, à savoir la restriction, la suppression et la destruction, je les exclurai des considérations suivantes, car il s'agit d'activités destructrices qui sont plutôt positives en termes de protection des données, car elles réduisent ou suppriment une responsabilité.

Les activités qui constituent une traitement de données sont, conformément à Article 4, n° 2, dans l'ordre chronologique, c'est-à-dire dans l'ordre suivant tel que mentionné dans le texte du règlement:

  1. Lève-toi, puis seulement alors
  2. Enregistrer ensuite, puis seulement est la
  3. L'organisation est possible, de même que le
  4. Organiser, puis (ou sans organisation ou ordonnancement), c'est la
  5. Stockage possible, ensuite (ou à la place avant le stockage) les
  6. La modification, mais seulement après l'enregistrement
  7. Lecture ou l
  8. Interroger. Avec ou sans stockage, suit la possibilité de
  9. L'utilisation ou la
  10. La divulgation par transmission, diffusion ou tout autre mode de mise à disposition, ainsi que le
  11. Confrontation ou la liaison.

Cette séquence n'est donc pas due au hasard et ne peut pas être due au hasard, car il y a 11 ! (11 facteuriel) possibilités de dresser cette liste. 11 ! = 11 * 10 * 9 * 8 * 7 * 6 * 5 * 4 * 3 * 2 * 1 = 39 916 800, soit à peu près 40 millions. Même si on considère deux des onze paires de termes comme équivalentes, le nombre de possibilités est supérieur à 300 000. La probabilité que la liste ait été dressée au hasard serait donc de 1/362 880 = 0,0000028.

La Article 29 Working Party, Opinion 3/2013 a également souligné que la collecte est l'activité de traitement des données la plus première.

Le législateur a donc clairement et sans aucune ambiguïté posé le début d'une traitement de données. Cela ressort également du titre de l'article 13 RGPD: "Obligation d'information lors de la collecte des données à caractère personnel auprès de la personne concernée".

Qui collecte des données traite des données. La collecte de données est le premier traitement de données possible !

Conclusons sur l'article 4, n° 2 du RGPD.

La collecte de données se fait avant la saisie des données, comme le dit la loi. Collecter signifie selon Duden rassembler ou recueillir, ce qui peut également être déduit du texte juridique anglais (to collect).

Le mot allemand zusammentragen a d'abord un air étrange. Après quelques réflexions, j'ai réussi à comprendre et à justifier le concept.

L'élaboration de données nécessite une adresse destinataire.

Ma connaissance de la définition du concept de collecte de données.

Une collecte de données ne peut avoir lieu que si une adresse est mentionnée à laquelle une personne peut envoyer un message. Étonnamment, le terme de collecte peut être dérivé du mot adresse ! Comme on va le voir, l'adresse n'a même pas besoin être celle d'un destinataire réel, mais celle de tout destinataire.

La collecte de données se fait donc après la réception et avant l'enregistrement (recording).

Une adresse implique un récipient. Cela paraît encore plus étonnant. Cette découverte me satisfait d'une certaine manière, surtout que ce type de déduction n'est nulle part à trouver.

Un conteneur est appelé en anglais, mais aussi dans l'informatique, comme Conteneur ou Collection. La langage de programmation Java connaît le concept de la Collection et du Containers aussi.

Exemples d'adresses avec indication du contenant associé sont:

  • Adresse postale: boîte aux lettres
  • Adresse e-mail: boîte de réception (plus précisément: serveur de boîte de réception)
  • L'adresse IP lors de l'appel d'une page Web: mémoire vive du serveur
  • Divertissement personnel: Cerveau de l'interlocuteur (mémoire)
  • Numéro de téléphone/Téléphone: dito
  • Numéro de téléphone/boîte vocale: "bande" d'enregistrement (désormais généralement numérique)

Une adresse est un contenant accessible par une désignation unique dont le contenu peut être révélé à un destinataire.

Ma définition d'adresse dans le contexte de la RGPD.

Un boîte aux lettres morte, qui (pourquoi que ce soit) ne peut être vidée de manière objective par personne, n'est pas une adresse au sens où l'on entend. La possibilité d'obtenir connaissance des messages n'existe pas ici. Il existe en informatique le zéro appareil comme "sortie virtuelle" qui "rejette tout ce qu'on y écrit" (Source: Wikipedia, dont je peux confirmer l'affirmation en tant que informaticien). Le zéro appareil est également appelé NUL-cible et n'est pas une adresse au sens de la DSGVO, car il est quasi impossible d'obtenir connaissance des messages reçus.

Un cas particulier est une adresse avec un conteneur qui ne peut recevoir qu'une seule information à la fois. Si le conteneur n'est pas vidé à temps, les informations sont perdues. C'est d'ailleurs possible pour tout conteneur ayant une capacité de stockage plus élevée. De l'expérience, on sait bien le problème d'un courrier électronique plein qui ne peut recevoir aucune nouvelle information avant d'avoir été vidé. Il n'est donc pas possible de recevoir d'autres informations, car il était déjà impossible de les recevoir.

Le mot du collectage (dans un conteneur) désigne d'abord seulement une stockage temporaire, pas de stockage ou stockage durable. Que le stockage durable soit possible dans certains conteneurs, cela ne s'y oppose pas (exemple: boîte aux lettres e-mail).

La collecte de données est la connaissance possible d'un message par un destinataire à qui il a été envoyé à une adresse.

Ma définition du concept de collecte de données doit s'appliquer conformément à l'article 2, paragraphe 1 de la RGPD.

Une collecte de données signifie donc la possible connaissance d'un message qui a été envoyé à une adresse. La connaissance réelle peut se produire automatiquement (ce qui est également mentionné dans Article 4, n° 2 du RGPD), par exemple par un serveur qui fournit une page web. La connaissance se produit par un destinataire. Le traitement des données doit avoir lieu conformément à Article 2, alinéa 1 du RGPD.

La prise en connaissance est dans la DSGVO avec le terme Receveur inscrit, qui est défini à Art. 4 N° 9. Un receveur est donc une personne naturelle ou juridique, dont les données personnelles sont communiquées.

Différence avec la réception de données

L'acquisition de données est un processus ultérieur à la réception de données. Un synonyme pour reçoit est obtenir (recevoir). La livraison au sens postal est effectuée lorsque le message a été correctement reçu à une adresse exacte, c'est-à-dire qu'il a été dédié reçu.

Un Boîte à lettres reçoit donc des messages. Ceux-ci sont considérés comme reçus ou reçus au moment où ils sont introduits dans le boîtier et comme levés au moment de leur extraction du boîtier. Si le boîtier est plein, ni la réception ni l'extraction du message ne seraient possibles (à l'exception d'un facteur qui pourrait livrer le courrier en personne). S'il y a un courrier à une adresse incorrecte, par exemple en raison d'une erreur de la part du facteur, le propriétaire du boîtier aura reçu le message mais ne l'aura pas levé.

Un boîte aux lettres dont le contenu est traité manuellement uniquement ou n'est pas stocké dans un système de fichiers, ne fait pas l'objet d'une considération . Voir art. 2 al. 1 DSGVO. Certaines entreprises utilisent cependant des scanners pour traiter automatiquement toute la correspondance. Dans ce cas, le contenu du boîte aux lettres de ces entreprises est dans le champ d'application de la DSGVO. L'utilisation également de données dans un courrier électronique ou l'envoi de ces données par courrier électronique correspond au stockage automatique dans un système de fichiers.

Un Envoi d'avis de réception confirme la réception ou l'envoi même de manière juridiquement contraignante, à condition que le message soit adressé à l'adresse correcte et en bon état d'expédition, et que le destinataire ait pu avoir connaissance de la lettre. La date de livraison est celle fixée par la poste pour l'enregistrement du courrier (ou partie personnelle au destinataire, ce qui serait une étape supplémentaire). Si un envoi correctement acheminé est directement volé après et prouvé sans faute du destinataire, il n'y a pas de collecte de données auprès du destinataire car celui-ci n'a pas pu avoir connaissance de la lettre.

En fonction de l'avis d'introduction, il est clair que l'obligation qui incombe à un destinataire intentionnel. Un tel destinataire est en fait obligé de vider régulièrement son boîte aux lettres (à condition qu'il ne s'agisse pas d'une contrainte excessive, je dirais). Quelqu'un qui reçoit une mise en garde peut se prévaloir du fait que le temps a été mauvais depuis sept jours pour ne pas avoir vidé la boîte aux lettres. Cette obligation n'est toutefois pas issue de la RGPD, mais plutôt d'autres réglementations juridiques dont je n'ai pas encore pu trouver les références et qui semblent en fait ne pas exister. Les interprétations juridiques des jugements et des opinions des juristes suggèrent cependant cette obligation.

Connaissance d'une information

Tout d'abord, lorsque une lettre est retirée du boîtier, elle devient consciente. Lorsque le destinataire a vidé son boîtier de courrier, cela apparaît immédiatement. Dans des conteneurs comme le cerveau, ce processus se produit implicitement.

Un contenant sert à l'accumulation d'objets.

Ma définition du concept de conteneur en matière de protection des données sont les données des objets

Lorsque des conteneurs (techniquement: Container) comme le principal stockage d'un Serveur d'une page web reçoivent un message, le processus de connaissance du message se produit implicitement pour la plupart des gens, mais explicitement en termes techniques (le serveur a été programmé en conséquence). Un serveur avec une seule connexion réseau entrante ne peut traiter qu'un signal à la fois. Le traitement prend généralement plus de temps que l'envoi. Pour éviter que le signal (= message ou requête) ne soit perdu, Pouffer un serveur les signaux entrants jusqu'à ce qu'il puisse les traiter. Un tampon est un conteneur.

Si un serveur est surchargé et doit donc refuser une requête, il était en fait impossible de prendre connaissance de cette situation. Cela ne signifie toutefois pas que la requête n'a jamais été acceptée pour des raisons techniques, c'est-à-dire qu'elle a échoué en raison des limites de la matériel et non parce qu'elle a été bloquée par un problème logiciel.

Qui est responsable en vertu du RGPD ?

La simple collecte de données ne fait pas encore un avertissement. Il faut également être responsable de la collecte des données pour que des obligations en découlent.

Responsable au sens de la RGPD (Art. 4 Nr. 7) est qui "seul ou en commun avec d'autres décide des finalités et moyens de traitement des données à caractère personnel". Qui donc collecte des données à caractère personnel pour un but donné et avec des moyens prévus, est notamment responsable selon la RGPD et doit selon Art. 13 RGPD fournir des informations à la personne concernée.

Le terme Zweck pourrait être défini également par le terme Offre. La signification du terme Angebot est à comprendre dans son sens large et j'ai choisi ici ce terme parce que Zweck est un concept assez abstrait. Un offre peut être une offre d'information, un service et ainsi de suite.

Une responsabilité ne se crée qu'à la suite d'une offre.

Ma constatation (pour une véritable responsabilité, d'autres conditions doivent se produire)

Ohne offre, il n'y a pas de responsabilité. Si quelqu'un vous envoie spontanément son dossier médical qui atterrit entre vos mains, alors (probablement) une collecte de données a lieu chez vous, mais vous n'êtes pas responsable de cela.

Soyez médecin et demandez à un patient de vous faire parvenir les résultats de son séjour en clinique, votre cabinet prend des données dès que votre cabinet reçoit les résultats de votre patient et qu'ils peuvent atteindre une personne dans votre cabinet.

Si une responsabilité était possible sans offre, chacun pourrait faire de quelqu'un d'autre responsable contre son gré.

Responsabilité pour les données récoltées mais non portées à connaissance

Si quelqu'un a collecté des données sans encore en avoir connaissance, la question de la responsabilité effective se pose. Si quelqu'un a reçu un message dans son boîte aux lettres en raison de son offre et que ce message est parvenu à des tiers sans qu'il ait eu connaissance du contenu du message, est-il responsable ? Cela dépend. Je suppose que la diligence requise et d'autres obligations légales jouent un rôle ici. Si quelqu'un ne ferme pas sa boîte aux lettres, je pense qu'il est responsable en matière de protection des données s'il permet à des tiers d'accéder indûment au contenu de la boîte.

Les données qui n'ont pas été portées à la connaissance du responsable et d'autres, mais qui ont été collectées par le responsable sans en avoir connaissance, ne posent d'abord aucun problème, mais créent des obligations. Le titulaire de données peut toutefois exiger l'effacement, ce qui doit être effectué de telle sorte que le responsable puisse se procurer connaissance des données collectées afin de pouvoir les effacer correctement sans mettre en danger d'autres données.

De même que pour des données non connues, il en va de même pour les données stockées durablement mais non traitées et non transmises à autrui. Rien ne s'en suit, mais une obligation, par exemple, une obligation de prudence. Une demande de suppression serait alors réalisable dans un délai réduit comme dans le cas précédent, car la connaissance est déjà acquise.

Qui conseille à un tiers de diffuser des données qu'il a lui-même collectées mais pas reçues, est également responsable.

Les données qui ne sont pas collectées automatiquement et non stockées dans un système de fichiers ne constituent pas seulement une connaissance, la question se pose de savoir si une connaissance était factuellement possible et si une traitement automatisé ou un stockage dans un système de fichiers étaient prévus. Si c'était prévu, je dis que la collecte des données a également eu lieu sans prise en compte.

Exemple de collecte de données: site web

Une (page web est un offre qui détermine son but par son contenu. Elle est fournie grâce à l'intermédiaire d'internet et d'autres données techniques (HTML etc.). Dans Art. 8 Abs. 1 DSGVO, le terme d'offre est mentionné, en effet (et pour la première fois), mais en relation avec la fourniture de services électroniques, ce qui s'applique aux pages web.

On entend ici par site Web une présence Internet accessible au public. Un autre cas est celui d'une présence protégée par mot de passe. Le cryptage du mot de passe doit cependant se faire directement au niveau du serveur, afin que le cas soit différent d'un site Web accessible au public. Cela peut être réalisé grâce à une directive dans la surnommée .htaccess fichier.

L'adresse IP est un données personnelles. Lors de chaque appel d'une page web, en raison des normes Internet TCP (Transmission Control Protocol), l'adresse IP du demandeur est transmise au serveur qui fournit la page web. Dans ce sens, la DSGVO s'applique à toute page web accessible au public.

De là résulte une responsabilité conformément à l'article 4, n° 7 du RGPD , car

  1. Une collecte de données a lieu (voir ci-dessus)
  2. Des données personnelles sont collectées (à savoir au moins les adresses IP)
  3. L'objet est donné (offre sur le contenu de la page web)
  4. Les moyens sont déterminés (internet, etc.)

Chaque site Web accessible au public ayant un but doit avoir une déclaration de protection des données

Raisonnement: Pour de tels sites web, il existe une responsabilité en vertu de l'article 4, paragraphe 7 du RGPD

Par conséquent, chaque site Web accessible au public doit présenter une Déclaration de protection des données. La seule éventuelle exception pourrait être un site Web qui ne représente pas d'offre, c'est-à-dire qui est complètement vide de contenu. Mais même une page de destination pour une adresse Web disponible, qui propose souvent en quelques mots l'adresse du site visité à la vente, constitue clairement une offre. Même une carte de visite web est une offre. Si ce n'était pas le cas, pourquoi serait-elle là ? D'autant plus, un site Web vide avec un résumé des caractères est considéré comme une offre, sauf si le résumé a été mis en place par prudence excessive. Soit le résumé a été mis en place conformément § 5 TMG, ce qui signifie qu'il s'agit d'une offre commerciale. Ou bien le résumé a été mis en place conformément §18 MStV, ce qui signifie qu'il s'agit d'un offre d'information. Ou les deux (ceci est la plupart du temps).

Exemple de collecte de données: communication par courriel

Il y a plusieurs cas à distinguer, par exemple:

  1. Déclaration d'adresse e-mail dans l'imprimé-libre d'une site web: Vous proposez que l'on vous écrive (dans ce cas, parce que vous êtes en vertu § 5 TMG ou § 18 MStV obligés de le faire). Quelqu'un utilise cela pour une demande générale par e-mail, et pas à des raisons juridiques
  2. Formulaire de contact général: Vous proposez un tel formulaire sur votre site web. Quelqu'un utilise celui-ci pour une demande générale. Au fond, une e-mail est envoyée à vous
  3. Adresse e-mail comme moyen de contact en cas de besoin d'avis: Vous proposez que l'on vous écrive. Quelqu'un utilise cela parce qu'il veut accepter votre offre de conseil
  4. Formulaire de contact en cas de besoin d'avis: Vous proposez un tel formulaire sur votre site web. Quelqu'un utilise celui-ci parce qu'il souhaite bénéficier de vos services consultatifs. Au fond, une lettre électronique est envoyée à vous
  5. Quelqu'un a appelé votre numéro. Il vous demande de lui envoyer quelque chose par mail à l'adresse que vous avez mentionnée sur votre site web, comme ses coordonnées, afin que vous puissiez lui faire une offre par mail

Dans tous les cas, il y a une collecte de données. Les cas 1 et 2 ne constituent toutefois pas (apparent) une offre, car aucun but spécifique n'est poursuivi (dans des affrontements juridiques qui sont survenus par le biais d'un contact imprint, cela peut être différent). Les cas 3 à 5, en revanche, constituent une offre avec un but spécifique.

Aucune obligation ne résulte d'une simple collecte de données !

L'obligation ne se crée qu'en cas de réalisation d'autres conditions

Une collecte de données en soi ne donne lieu à aucune obligation. Au contraire, vous devez être responsables de la collecte de données pour que des obligations vous soient imputées conformément à la RGPD.

En ce qui concerne les cas précédents de communication par courriel, cela signifie concrètement:

  • L'automne 1, la mention d'une adresse e-mail pour un contact général n'a pas de but précis. Une lettre non sollicitée envoyée à partir d'elle ne donne lieu à aucune responsabilité. C'est analogue si quelqu'un prend votre adresse e-mail (ou votre adresse postale) dans un annuaire ou un répertoire téléphonique et vous contacte
  • Automne 2, le formulaire de contact général (sans sélection ou préférence d'un problème), n'a pas un but précis. Une information non sollicitée reçue par ce biais (par mail ou autrement) ne donne lieu à aucune responsabilité
  • Lorsque l'on donne une adresse e-mail à des fins de consultation (offre de consultation) en automne 3, cela implique la naissance d'une responsabilité
  • L'automne 4, la mise en place d'un formulaire de contact pour offrir des conseils signifie l'émergence d'une responsabilité
  • Lorsque l'on vous demande de recevoir une information personnelle, cela implique la naissance d'une responsabilité. Vous donnez ici votre accord pour s'occuper de quelque chose.

Dans les cas 1 et 2, déterminez les moyens mais pas l'objectif. Dans les cas 3 à 5, déterminez les moyens et l'objectif, vous êtes donc responsables de cela. Pour le formulaire de contact, une analyse individuelle est régulièrement nécessaire pour clarifier si un offre réelle existe ou s'il s'agit d'un équivalent à la mention d'une adresse e-mail pour des contacts généraux (mieux sans intérêts commerciaux apparents). C'est cependant pas une question de protection des données, mais une autre.

Si on reçoit involontairement des données personnelles, il convient de s'assurer qu'on n'est pas responsable en les supprimant. Par exemple, une fuite de données pourrait alors entraîner d'autres problèmes (il faudrait vérifier chaque cas).

Un responsable est ou a été un bénéficiaire

Seul celui qui est ou a été destinataire de données ou qui a incité un tiers à recevoir des données peut devenir responsable. Dans les considérants 31, 61 et 68 du RGPD ainsi que dans l'article 14, paragraphe 3, c) du RGPD, on trouve la conséquence logique de ces preuves en elles-mêmes.

Seul celui qui a été ou est destinataire de données peut devenir responsable ou inciter quelqu'un d'autre à recevoir les données.

Inférence logique à partir du texte législatif de la RGPD

L'existence d'un rôle de destinataire chez le responsable ou à la demande du responsable peut également être justifiée par le fait qu'un rassemblement de données (to collect) n'est possible que si des données sont disponibles pour être rassemblées. Ces données ne tombent pas du ciel et ne sont pas obtenues lors de leur collecte en combinant d'autres données, comme l'indique clairement l'article 4, paragraphe 2 de la RGPD sur le traitement des données. Les explications de la RGPD concernant la transmission de données personnelles à des pays tiers sans niveau suffisant de protection des données montrent également que la transmission est nécessaire pour que un processus de traitement des données commence et qu'une responsabilité puisse surgir. Une transmission suppose en effet l'existence d'un destinataire.

Le CJUE a clairement affirmé dans l'arrêt du 16 juillet 2020 (affaire C-311/18, considérant 83) que «la transmission de données à caractère personnel d'un État membre vers un pays tiers constitue en soi une traitement de données à caractère personnel au sens de l'article 4, paragraphe 2 du RGPD».

Incitation à un accueil par une personne responsable

Veuillez demander à votre médecin traitant d'envoyer vos clichés radiologiques, qu'il a reçus en clinique. Il vous donne une adresse fausse. Vous envoyez vos données à cette adresse fausse. Votre médecin n'est pas destinataire des données mais a organisé leur réception par un autre. Il est responsable de la collecte des données (chez l'autre).

Sans contact avec la personne concernée, une responsabilité peut également surgir: On affiche un panneau publicitaire pour promouvoir des services. Le panneau invite à envoyer des données. L'adresse du destinataire a été indiquée incorrectement, mais il s'agit d'une adresse d'un tiers. La personne responsable de l'affichage du panneau est responsable des données collectées auprès d'un autre destinataire, sans avoir eu de contact avec la personne concernée. Le responsable ne connaît même pas les données de la personne concernée et n'en saura peut-être jamais rien.

Dans cet article, on passe généralement sur des cas comme celui-ci pour simplifier les choses. On parle donc uniquement du destinataire de données. Mais cela fait une différence avec les liens externes, raison pour laquelle nous y reviendrons plus tard.

Responsabilité commune

Responsabilité commune peut surgir lorsque quelqu'un reçoit des données parce qu'un autre lui a transmis celles-ci. Cela ressort notamment du arrêt de la Cour de justice de l'Union européenne du 29.07.2019 – C‑40/17 ("Fashion ID"). L'arrêt de la CJUE porte sur le plugin Facebook. Intégrer un plugin sur une page Web signifie techniquement que (d'abord) à la fois le propriétaire de la page et Facebook reçoivent les mêmes données des utilisateurs (peuvent). Ce n'est qu'une fois que l'utilisateur clique sur un lien ou un bouton fourni par le plugin, qui mène à Facebook, que Facebook peut collecter d'autres données qui sont en corrélation causale avec la collecte initiale de données.

Quelles conséquences du fait que le responsable des données sache qu'un tiers auxquels il transmet les données traite ces dernières, a été examinée par la Cour de justice de l'Union européenne dans son arrêt Fashion-ID (ci-dessous, RN. 77). Il était probablement question là d'une personne qui met un plugin sur sa page web et sait que le propriétaire du plugin traite les données de trafic (au moins l'adresse IP) des visiteurs de la page web. Dans ce cas, elle est responsable de ces traitements. C'est particulièrement vrai si le destinataire des données est une entreprise Internet dont le modèle commercial repose sur l'extraction de données.

Comme destinataire, il faut donc peut-être considérer une groupe d'acteurs, à condition qu'un responsable transmette des données à un autre responsable responsable.

Avant cela, Facebook peut toutefois comparer les données qu'il a reçues auprès de l'utilisateur avec les nouvelles données. Selon la décision du Tribunal de justice de l'Union européenne (CJUE), ce rapprochement ne se fait que dans la responsabilité de Facebook (puisqu'il n'a reçu qu'une partie des données comparées). Ce type de traitement des données, effectué uniquement par Facebook et sans instruction directe du propriétaire du site Web, est également de la seule responsabilité de Facebook, comme le souligne la CJUE (par exemple, Rn. 85 de l'arrêt). Cependant, cela n'est peut-être vrai que si le propriétaire du site Web ne bénéficie pas de ce rapprochement avec connaissance.

Il faut que des données aient été reçues à un moment donné pour qu'une responsabilité puisse exister. Si plusieurs entreprises sont mentionnées comme responsables communs sur une page web, il suffit que l'une de ces responsables ait reçu les données pour que les autres soient également responsables communes. Il s'agit donc peut-être d'un réel, mais d'un logique réception des données. Au moins, un groupe de responsables communs (commun) a reçu les données. La réception par l'un des groupes signifie quasi simultanément une réception par tous dans le groupe lors du règlement de la question de la responsabilité dans le rapport externe.

La groupe de responsables communs est à l'extérieur une unité, dont on peut se séparer individuellement ou tous ensemble. Cela vaut au moins pour les avertissements, dans la mesure où je le sais. Dans l'intérêt interne, il peut être pertinent pour clarifier une question de responsabilité entre les membres du groupe de savoir qui (comme seul) a reçu et collecté effectivement les données au sein du groupe des responsables, afin que s'effectue un compte-rendu interne de la faute, ce qui n'intéresse pas une personne concernée extérieure.

Est-ce qu'une responsabilité est engagée lors de l'intégration d'images externes ?

Lorsqu'une page web intègre une image provenant d'un site tiers, les données personnelles du visiteur de la page web sont transmises au tiers sur ordonnance du propriétaire de la page web.

Le responsable de la page Web (ou le responsable de la page Web, qui est souvent identique) est donc responsable de l'intégration de l'image externe. Il s'agit ici uniquement d'images statiques ordinaires d'un tiers, et non de pixels de comptage ou autres. Le tiers n'est également pas au courant de son bonheur et ne fournit aucune prestation de service lorsque l'image est intégrée.

Le responsable de l'intégration de l'image externe doit soit produire un AVV envers le tiers, soit répondre selon Art. 5 Abs .1 c DSGVO (principe de minimisation des données). Il n'y a aucune justification pour intégrer une image statique à partir d'un site externe, car il est possible et acceptable de l'intégrer localement.

Les images devraient donc toujours être intégrées localement. Dans tous les cas, il faut vérifier le droit d'auteur.

Est-ce que la responsabilité est engagée lorsqu'on met en lien des liens externes ?

Est-ce que le donneur de lien, c'est-à-dire quelqu'un qui met un lien sur son site web vers une autre page Web, est-il responsable en matière de protection des données pour ce lien ?

Tout d'abord, il faut noter que la transmission de données du donneur de lien vers le destinataire de lien n'a pas lieu dans un sens technique. C'est au contraire dans le navigateur de l'utilisateur qu'elle se produit, sur initiative de l'utilisateur, car c'est lui qui a cliqué sur le lien. Le cas où un lien doit être cliqué «doit» être, par simplification, exclu de la présente discussion.

Le fournisseur de lien reçoit en tout cas dans son conteneur (boîte aux lettres) les mêmes données que celles qui apparaissent lorsqu'on clique sur un lien. Il ne collecte donc pas d'informations en raison du clic sur un lien. Sont exclues les situations où le fournisseur de lien aurait la possibilité de suivre les clics sur des liens, par exemple à l'aide de Google Analytics ou grâce à ses propres logiques JavaScript_. Cette situation soulèverait d'autres questions qui concernent moins les liens externes que plutôt le suivi des utilisateurs (vgl. Article 5, alinéa c DSGVO ou Section 15, alinéa 3 TMG).

Le fournisseur de lien détermine les objectifs et les moyens du lien externe. Le fournisseur de lien fait en sorte que le destinataire reçoive des données personnelles au destinataire du lien. Par conséquent, le fournisseur de lien est responsable.

L'objectif du lien reçoit uniquement des données techniques nécessaires par le clic sur le lien, qui sont fournies par la personne qui a créé le lien, et une personne. Supposons que la personne qui a créé le lien n'est pas en relation commerciale ou contractuelle avec l'objectif du lien et qu'elle ne connaît pas les responsables de l'objectif du lien.

L'objectif de la liaison est responsable des collectes de données à son propre égard. Il n'y a pas d'imputation commune selon les hypothèses précédemment mentionnées. Cela a également été déclaré par le CJUE dans l'arrêt Fashion ID ci-dessus mentionné.

La source de la liaison est donc responsable, mais finalement pour rien. Zéro multiplié par la responsabilité donne zéro. En ce sens, il existe bien (dans la plupart des cas) une responsabilité théorique, mais pas de responsabilité factuelle chez le fournisseur du lien.

Et Anders peut considérer que les liens vers des adresses impliquant un transfert de données dans un pays tiers non sûr peuvent être problématiques. Ici, l'article 44 du RGPD joue un rôle en particulier après le jugement Privacy Shield ("Schrems II"). Je suppose que l'utilisateur a donné son consentement pour les risques potentiels lorsqu'il clique sur un lien externe identifiable, à condition qu'il ait eu la possibilité de s'en informer auparavant. Sans cette information fournie par le responsable du traitement, il y aurait m. E. une responsabilité plus étendue qui ne peut pas être discutée ici.

La question de savoir comment il se présente lorsque le donneur de lien est en relation avec la cible du lien, par exemple par un contrat, ne sera pas examinée plus avant ici. Cette affaire est d'ailleurs très rare, comparé au grand nombre de liens externes pour lesquels aucune relation contractuelle n'existe entre le donneur et la cible de lien.

L'insertion de liens vers des contenus illégaux ou vers des contenus dont la consultation pourrait poser problème lors de l'entrée aux États-Unis est plutôt un problème de contenu (§ 7 TMG?).

Quand apparaît une responsabilité réciproque ?

Le concept de responsabilité réciproque a été introduit par moi et à titre accessoire. La responsabilité réciproque signifie ici que deux personnes communiquent entre elles et se répondent mutuellement, chacune en réponse à la précédente notification de l'autre.

La question de la responsabilité réciproque est en réalité déjà réponse ou répondable par les explications ci-dessus, mais elle sera illustrée à l'aide d'un exemple pour plus de clarté.

Quelqu'un vous envoie une e-mail dans votre qualité de particulier sans y avoir été invité. Vous répondez. Dans votre réponse, figurent votre adresse privée que vous n'avez pas demandé (au contraire, votre adresse privée est incluse sous forme d'une signature automatique dans chacune de vos e-mails).

Vous n'êtes pas responsable de l'e-mail reçue sans demande préalable au sens de la RGPD. Vous avez collecté les données reçues, mais vous n'avez fait aucune offre pour que quelqu'un vous envoie un message. Vous n'avez aucun but à ce qu'on vous envoie une notification sans demande.

Le destinataire de votre réponse collecte vos données. Il est responsable des données personnelles qu'il a demandées, dont il dispose. Il n'est d'abord pas responsable des données que vous lui envoyez sans y être invité et qui ne sont pas liées à sa demande. Il faut examiner chaque cas pour savoir si certaines parties de la réponse peuvent être liées à une demande même si on n'y a pas demandé. Par exemple, une signature d'e-mail peut être obligatoire (par exemple dans le cadre des correspondances professionnelles), ce qui pourrait entraîner une responsabilité du destinataire.

Est-ce que la diffusion de données non sollicitées est autorisée ?

Oui, s'il y a une base juridique pour cela. Par exemple, les autorités chargées de l'application des lois peuvent vous informer si vous avez reçu des contenus que vous considérez comme illégaux ou qui vous mettent en danger. Il y a récemment eu un cas d'un acheteur d'une disque dur sur eBay. L'acheteur a découvert que la disque dur contenait les données du précédent propriétaire de la disque dur, qui n'était pas le même que le vendeur. L'acheteur a contacté le précédent propriétaire en tant que détenteur des données et a transmis ainsi les données du détenteur à ce dernier. Si un détenteur de données récupère ses propres données d'un tiers qui les avait reçues involontairement, cela ne pose généralement pas de problème. Un problème pourrait surgir si le donneur choisit une méthode de transmission négligente. Même l'aide bénévole et gratuite apportée par un voisin peut entraîner des obligations importantes pour celui qui aide !

Les fondements juridiques de la DSGVO pour le traitement des données sont définis dans Article 6 DSGVO. Dans l'exemple précédent de poursuite pénale, il peut être que les fondements juridiques proviennent d'autres lois, car lorsqu'il s'agit d'une menace, il ne s'agit pas principalement du droit à l'intimité. La DSGVO dit également que "les autorités qui reçoivent des données personnelles dans le cadre d'un mandat d'enquête spécifique en vertu du droit de l'Union ou du droit des États membres", ne sont pas considérées comme destinataires. Si la transmission de vos données à une autorité est légitime, cela ne crée pas de responsabilité pour l'autorité en vertu de la DSGVO, car sans destinataire, il n'y a pas de collecte de données. J'espère que c'est correct et je considère Article 2 DSGVO comme étant d'application, dans le sens où (pour cette raison) des lois propres aux autorités existent pour régir leur responsabilité.

Peuvent-elles être conservées indéfiniment ?

Les données mentionnées ici sont des données à caractère personnel collectées par un responsable. Dans la mesure où une personne a obtenu le droit de suppression conformément Article 17 du RGPD, les données doivent être supprimées en conséquence.

D'autres règles juridiques en dehors du RGPD pourraient exiger une conservation plus longue, par exemple dans les affaires fiscales.

Les données ne peuvent être utilisées que pour des fins précises et uniquement en respectant les fondements juridiques de Art. 6 RGPD. Une réutilisation à d'autres fins est interdite conformément à Art. 5 Abs. 1 b RGPD. Un stockage n'est toutefois pas une réutilisation, raison pour laquelle cette disposition juridique ne s'applique pas.

Si les données conservées ne sont pas réutilisées, une conservation indéfinie me semble donc autorisée, à condition que le titulaire des données n'y fasse pas objection. Naturellement, cela s'applique également aux obligations de conservation. J'ai pas plus approfondi cette question et je m'en réjouis pour les retours d'information.

Conclusion

La définition du concept Élever me semble plausible et logique. Il est clair que la collecte de données représente l'activité de traitement des données la plus précoce. Il n'est pas nécessaire d'enregistrer ou d'évaluer les données pour avoir déjà collecté les données. Il est également clair qu'il faut une adresse à laquelle une message peut être envoyé, dont un destinataire peut prendre connaissance. Une prise de connaissance réelle n'est pas nécessaire. La possibilité de prendre connaissance suffit.

Cependant, il semble que la possibilité théorique de connaissance ne suffit pas pour qu'une collecte de données soit présente. Au contraire, une réelle possibilité de connaissance doit être présente. Voir l'exemple du boîtier d'entrée plein d'e-mails ou du courrier enflammé après la livraison par la poste.

Qui collecte des données à caractère personnel pour ses propres besoins avec les moyens qu'il a choisis, est responsable et donc tenu de traiter les données à caractère personnel uniquement conformément aux prescriptions du RGPD.

L'explication explicite selon laquelle un Responsable doit être un destinataire ou a dû inciter à la réception auprès de tiers manque dans le texte du règlement RGPD pour des raisons que je ne connais pas (si j'ai tort, je vous prie de me faire savoir). Ma supposition est qu'il s'agit de la complexité du règlement RGPD ou qu'on a supposé que le destinataire serait évident à partir du terme de Transmission. Sans avoir reçu des données auparavant, d'autres données ne peuvent pas exister.

On est responsable uniquement si on fournit un offre, ce qui dans la RGPD est appelé finalité.

Je trouve cela brillant de définir la collecte de données ou le rassemblement (Collection) des données dans la RGPD comme premier traitement de données possible et d'avoir même abordé le concept du rassemblement. Peu de gens viendraient directement à l'idée qu'une collecte de données a lieu (toujours), après avoir obtenu des données pour une adresse et les avoir communiquées au destinataire.

Messages clés

La collecte de données est le premier pas du traitement des données personnelles et implique des responsabilités selon le RGPD.

La collecte de données est l'étape initiale et fondamentale de tout traitement des données personnelles.

La collecte de données est comme le stockage temporaire d'informations dans un "conteneur" accessible via une adresse unique.

La collecte de données signifie que quelqu'un peut lire un message qui lui a été envoyé.

Pour être responsable des données personnelles selon le RGPD, il faut non seulement les collecter, mais aussi décider de leur utilisation et des moyens pour les traiter.

Pour être responsable des données, il faut les avoir collectées volontairement.

Tout site web accessible au public, même vide, est considéré comme une offre et doit donc respecter la DSGVO en collectant et protégeant les données personnelles des visiteurs.

Collecter des données personnelles ne crée pas automatiquement d'obligation. Vous n'êtes responsable que si vous les collectez avec un but précis et que vous les utilisez ensuite.

Seule la personne qui reçoit des données ou qui incite quelqu'un à les recevoir peut être responsable de leur traitement.

Si vous utilisez un plugin comme celui de Facebook sur votre site web, vous êtes responsable des données que Facebook collecte, même si vous ne le contrôlez pas directement.

Le responsable d'un site web est responsable des données personnelles transmises lorsqu'il intègre des images ou des liens vers d'autres sites.

Le créateur d'un lien vers un site web n'est généralement pas responsable des données collectées par ce site, sauf s'il a une relation contractuelle avec le site.

Il est important de ne pas partager d'informations personnelles sans en avoir été explicitement sollicité.

La collecte de données est le premier traitement possible et doit respecter le RGPD.

A propos de ces messages clés

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Réseau de distribution de contenu Cloudflare: utilisation et protection des données