Frequently Asked Questions

Le RGPD distingue deux rôles principaux : le responsable du traitement et le sous-traitant. Cette distinction est cruciale, car le responsable du traitement porte plus de responsabilités et doit remplir plus d’obligations que le sous-traitant.
Les responsables du traitement et les sous-traitants peuvent être des personnes physiques ou morales, par exemple une PME, une autorité publique, une entreprise, une organisation, un organisme d’État, une association, etc.
Le responsable du traitement détermine les finalités et les moyens d’une opération de traitement. En d’autres termes, le responsable du traitement décide du comment et du pourquoi d’une opération de traitement. Les sous-traitants, quant à eux, traitent des données personnelles pour le compte du responsable du traitement. Le traitement effectué par les sous-traitants doit être régi par un contrat avec le responsable du traitement des données ou par un autre acte juridique.

Exemples de contrôleurs de données :

• les entreprises qui traitent les données personnelles de leurs clients pour finaliser une vente ;
• les institutions financières qui traitent les données personnelles de leurs clients ;
• les associations qui traitent les données de leurs membres ;
• les écoles ou universités qui traitent les données personnelles des étudiants et des enseignants ;
• les hôpitaux qui traitent les données personnelles de leurs patients ;
• les agences gouvernementales qui traitent les données personnelles des citoyens.

Exemples de sous-traitants :

• une PME embauche un service de comptabilité pour conserver ses livres de comptes : la PME est responsable du traitement des données et le service de comptabilité est un sous-traitant ;
• une société de gestion de paie traite les données personnelles d’une PME. La société de gestion de paie agira en tant que sous-traitant si elle traite uniquement les données personnelles pour le compte de la PME. La PME détermine les finalités et les moyens du traitement des données et est donc responsable du traitement des données.
• une PME demande à une société de marketing de collecter des adresses e-mail via des sites web tiers. La société de marketing se confirme aux instructions explicites de la PME et aux fins exclusives de celle-ci. La société de marketing agit comme sous-traitant pour cette collecte de données.
   

Plus d’informations :

• Responsable du traitement ou sous-traitant

Certains types de données personnelles appartiennent à des catégories particulières de données personnelles, ce qui signifie qu’elles méritent plus de protection : il s’agit des données dites sensibles. Les données sensibles comprennent des données qui révèlent des informations sur un individu 

• la santé ;
• l’orientation sexuelle ;
• l’origine raciale ou ethnique ;
• les opinions politiques, les croyances religieuses ou philosophiques ;
• l’appartenance syndicale ;
• les données biométriques et génétiques.

Le traitement des données sensibles d’une personne est généralement interdit, sauf dans des circonstances spécifiques qui justifient son traitement.
 

Plus d’informations:

• Bases de la protection des données

Le DPD peut être un employé existant ayant une connaissance suffisante du RGPD (si les tâches professionnelles du salarié sont compatibles avec celles du DPD et que cela ne conduit pas à des conflits d’intérêts) ou une personne externe. Le DPD devrait être en mesure d’exécuter des missions de manière indépendante et de rendre compte directement au plus haut niveau de direction.

Plus d’informations :

• Le délégué à la protection des données

The archived documents adopted by the Article 29 Working Party (1997-2016) are available on the website of the European Commission here: WP29 archive.

Should you experience any difficulty accessing WP29 documents, we recommend contacting the European Commission's DG Justice. The European Commission provided the Secretariat for the Article 29 Working Party and was responsible for all its publications. 

You can contact them by filling out the following form

Every organisation, regardless of the their size or sector, established in the European Economic Area (EEA) or offering products or services to individuals in the EEA, processing personal data whether or not by automated means needs to comply with the GDPR. The GDPR applies to the automated processing of personal data and to processing operations carried out manually from the moment the paper files are organised in a systematic manner, e.g. ordered alphabetically in a filing cabinet.

Examples of processing operations include collecting, recording, organising, using, modifying, storing, disclosing, altering and erasing individuals’ personal data.

Nevertheless, the application of the GDPR is modulated according to the nature, context, purposes and risks of the processing operations carried out. For SMEs whose core business is not the processing of personal data, the obligations can be less strict than for a large company.

Once a public consultation is closed, all contributions to the public consultation are reviewed and, where necessary, the guidelines may be adapted. Once this process has been completed, the guidelines will be up for final adoption at a subsequent EDPB plenary.

Les données personnelles désignent toute information relative à une personne identifiée ou identifiable. Une personne identifiable est toute personne qui peut être identifiée directement ou indirectement. Différents éléments d’information qui pourraient conduire, ensemble, à l’identification d’une personne en particulier constituent également des données personnelles.
Voici des exemples de données personnelles :

• nom et prénom ;
• une adresse postale ;
• une adresse courriel ;
• un numéro de carte d’identité ;
• les données de localisation ;
• une adresse IP ;
• un identifiant de cookie ;
• les comptes bancaires ;
• les déclarations fiscales ;
• les données biométriques (comme les empreintes digitales) ;un numéro de sécurité sociale ;
• le numéro de passeport ;
• des résultats d’évaluation ;
• les notes scolaires ;
• l’historique de navigation ;
• un photo d’identité ;
• le numéro d’immatriculation du véhicule, etc.
   

Plus d’informations:

• Les bases de la protection des données
   

All comments submitted are screened and reviewed manually before being displayed on our website. There should have been a visual confirmation after submitting your comments on our website.

In any case, please allow for some time before your comments are published.

The GDPR puts in place clear procedures in case of a data breach. If a data breach poses a risk, companies and organisations holding your data have to inform the relevant data protection authority within 72 hours or without undue further delay. If the leak poses a high risk to you, then you must also be informed personally.

For more information on data breaches, please consult the EDPB Data Protection Guide for small business.

We are constantly working on the translation of our documents into the official EU languages.
All static content, as well as press releases and documents officially adopted by the Board, such as Guidelines, will be made available in these languages.

This process takes time and various steps need to be completed in order to provide translations of the best quality.

Please note that documents undergoing public consultation are usually not translated. It is only after the public consultation has been concluded and a final version of the document has been adopted by the Board that these documents will be translated.

Certification bodies are accredited by the national data protection authorities (DPA) or by the national accreditation body (named in accordance with Regulation 17065/2012). For further information regarding certification bodies, we recommend contacting the national DPA in your country. You can find an overview of all EEA DPAs here.

You can find further information regarding accreditation of certification bodies here: Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)

1. Assurez-vous que les données que vous avez reçues ont été collectées légitimement et que les personnes concernées ont été informées du traitement de leurs données personnelles.
2. Dans le cas où un tiers traite des données personnelles en votre nom, assurez-vous de mettre en place un contrat avec le sous-traitant, qui détaille les opérations de traitement et les moyens de traiter les données personnelles.

Et, bien entendu, respectez toutes vos obligations de responsable de traitement.

Plus d’informations :

• Responsable de traitement ou sous-traitant

Les mesures de sécurité nécessaires peuvent varier en fonction de la nature des données personnelles que vous traitez et des risques associés pour les individus. Dans tous les cas, il y a quelques mesures minimales que vous devriez mettre en place :

• sécuriser l’accès aux locaux ;
• utiliser un logiciel antivirus régulièrement mis à jour ;
• choisir soigneusement vos mots de passe;
• authentifier les utilisateurs avant d’utiliser les installations informatiques;
• disposer d’une politique de sauvegarde et de récupération des données en cas d’incident.

En outre, certaines mesures de base telles que verrouiller votre écran pendant votre absence et votre bureau à la fin de la journée sont toujours pertinentes.

Plus d’informations :

• Sécuriser les données personnelles
   

La publication des noms des gagnants d’un concours sur votre site web pourrait être considérée comme un intérêt légitime, si vous pouvez le prouver en effectuant un test de « mise en balance » pour déterminer si vos intérêts légitimes l’emportent sur le droit des personnes concernées.

Une bonne pratique consisterait à mettre en place une procédure interne au sein de laquelle les règles relatives à la publication des données personnelles des lauréats sont expliquées.

En outre, le traitement des données personnelles à ces fins devrait faire partie de la politique de confidentialité du concours, de sorte que les participants soient informés à l’avance de la manière dont leurs données seront traitées.

Plus d’informations :

• Traiter les données personnelles de manière licite

All documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

Once published, recently adopted documents will be listed under “latest publications” on the main page of this website.

You can also find overviews of the documents adopted per plenary on the EDPB news page.

L’EDPB ne fournit pas de conseils juridiques sur mesure aux citoyens ou aux organisations privées/publiques sur la manière d’appliquer la législation en matière de protection des données à des cas spécifiques. 

Le rôle principal de l’EDPB est d’émettre des orientations et des avis généraux. Toutes les orientations et tous les avis adoptés peuvent être consultés à l’adresse suivante: Lignes directrices, recommandations, meilleures pratiques et avis. Nous vous recommandons également de lire le guide sur la protection des données pour les petites entreprises. Ce guide vous aidera à comprendre les concepts clés de la protection des données, les droits des individus en vertu du RGPD, les exigences de conformité, les mesures de sécurité et la façon de gérer les violations de données.

Des informations supplémentaires sur le rôle de l’EDPB et l’application du RGPD sont également disponibles à l’adresse suivante: Question fréquemment posées.

Nous vous invitons également à consulter les sites Web de l'autorité de protection des données de votre pays. Les liens vers les sites web de nos membres sont disponibles à l’adresse suivante: Nos membres.

Once the Lead Supervisory Authority (LSA) or, in some cases the Concerned Supervisory Authority (CSA), with which the complaint was lodged has notified the EDPB of the date its final decision was communicated to the controller or processor and, where relevant, to the complainant, the EDPB will publish its own decision on its website.

The European Data Protection Board (EDPB) is an independent European body, which contributes to the consistent application of data protection rules throughout the European Union, and promotes cooperation between the EU’s data protection authorities (DPAs), as well as the DPAs of Iceland, Liechtenstein and Norway (the European Economic Area or EEA).

The EDPB aims to ensure the consistent application of the General Data Protection Regulation and of the Law Enforcement Directive in the European Economic Area (EEA). The EDPB also looks into the application of certain aspects of the ePrivacy Directive.

Our main tasks and duties are:

• providing general guidance (including guidelines, recommendations and best practices) to clarify the law and to promote a common understanding of EU data protection laws;
• adopting opinions addressed to the European Commission or to the national Data Protection Authorities (DPAs):
  • to advise the European Commission on any issue related to the protection of personal data and newly proposed legislation in the European Union (Art. 70 GDPR). In some instances, we issue Joint Opinions together with the EDPS (Art.42 of Regulation 2018/1725);
  • to ensure consistency of the activities of national data protection authorities (DPAs) on cross-border matters (Art. 64 GDPR). If authorities fail to respect an opinion issued by the EDPB, we may adopt a binding decision;
• adopting binding decisions addressed to the national DPAs and aiming to settle disputes between them when they cooperate in cross-border cases, with the purpose of ensuring the correct and consistent application of the GDPR in individual cases;
• promoting and supporting the cooperation among national DPAs.

Oui, vous pouvez, mais le RGPD impose certaines obligations aux entreprises qui partagent des données personnelles. Votre organisme doit informer les personnes que vous partagerez leurs données avec un tiers. Vous devez également les informer de des finalités poursuivies ainsi que des mesures de sécurité, d’accès et de conservation qui s’appliqueront.