Frequently Asked Questions

Under the GDPR, certification is conducted by national certification bodies or by the competent national data protection authorities (Art. 42(5) GDPR).

For further information, we recommend contacting the relevant national DPA for your organisation. You can find a overview of all EEA DPAs here.

You can find further information regarding certification in the EDPB guidelines on the topic: Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation - version adopted after public consultation

If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. You can find the contact details for all EEA DPAs here.

Controllers should formally submit their EU-wide certification criteria to:

1. the competent data protection authority (DPA) in the EEA country where the scheme owners have their headquarters;
2. the competent data protection authority (DPA) in the EEA country where a certification body operating the certification mechanism have their headquarters, considering the member state in which the most certificates are likely to be issued.

La désignation d’un DPD est obligatoire dans les trois cas suivants :

• l’organisme est une autorité publique ;
• les activités de base de l’organisation consistent en un suivi régulier et systématique des individus à grande échelle, par exemple la géolocalisation via une application mobile, ou la surveillance des centres commerciaux et des espaces publics par le biais de la vidéosurveillance ;
• les activités principales de l’organisme consistent en un traitement à grande échelle de données sensibles ou de données personnelles relatives à des condamnations pénales et à des infractions.

Vous pouvez toujours désigner un DPD sur une base volontaire, même si cela n’est pas légalement requis. Veuillez noter que dans ce cas, vous devez vous conformer à toutes les dispositions du RGPD concernant les missions et la position du délégué à la protection des données dans l’organisme.

Plus d’informations :

• Le délégué à la protection des données

Non, il n’est pas nécessaire de rendre public votre registre des activités de traitement. Vous devez toutefois être en mesure de mettre le registre à la disposition de l’autorité de protection des données, à sa  demande.

Plus d’informations :

• Se mettre en conformité
   

Demandez-vous à l’EDPB d’enquêter et de prendre des mesures à l’encontre d’une organisation qui, selon vous, enfreint la législation de l’UE, y compris au moyen de technologies spécifiques, telles que l’IA, les médias sociaux ou les services de messagerie? 

Dans le cadre des règles de protection des données, vous pouvez déposer une plainte auprès de votre autorité de protection des données (APD) (veuillez en trouver la liste sur notre site Web: https://edpb.europa.eu/about-edpb/our-members). L’application des règles en matière de protection des données relève de la responsabilité des APD. Vous pouvez contacter l'autorité de protection des données de votre lieu de résidence ou de travail, ou de l'endroit où la violation présumée a eu lieu, par exemple.

Une autre solution consiste à saisir les juridictions nationales dans lesquelles vous résidez ou dans lesquelles le responsable du traitement ou le sous-traitant est établi. 

Si le RGPD s'applique à votre situation mais que vous n'êtes pas basé en Europe, vous pouvez toujours vous plaindre auprès d'un APD en Europe et/ou aller en justice.

L’EDPB n’est pas compétent pour traiter des demandes ou des plaintes individuelles spécifiques, ni pour fournir des services de conseil individuels. L’EDPB n’est pas un organe supranational qui peut enquêter sur les plaintes.

Enfin, si vous souhaitez vous plaindre de la manière dont une institution, une agence ou un organe de l’UE utilise vos données à caractère personnel, vous pouvez introduire une réclamation auprès du Contrôleur Européen de la Protection des Données (voir les coordonnées sur notre site web: https://edpb.europa.eu/about-edpb/our-members).

Veuillez noter que nous ne transmettons pas votre message aux APD nationales ou à l'EDPS. Par conséquent, vous devez les contacter directement.

Pour que le consentement soit considéré comme valide, il doit être :

• libre ;
• spécifique ;
• informé ; et
• univoque.

Cela signifie que les personnes doivent avoir un choix véritablement libre pour le traitement de leurs données personnelles. Elles ont besoin d’informations suffisantes pour pouvoir comprendre quelles données sont traitées, à quelles fins et par quels moyens. Elles ont également besoin de pouvoir répondre de manière suffisamment spécifique dans les demandes de consentement.

En outre, il devrait y avoir une action positive claire de la part de l’individu (cases non pré-cochées et  séparées de l’acceptation des conditions générales applicables).

En outre, les individus doivent pouvoir retirer librement leur consentement (sans conséquences négatives) s’ils changent d’avis plus tard.

Plus d’informations :

• Traiter les données personnelles de manière licite

Si votre organisation collecte les données personnelles directement auprès d’individus, elle doit fournir les informations nécessaires au moment de la collecte.

En cas de collecte indirecte de données personnelles, votre organisme doit fournir les informations au plus tard dans un délai d’un mois à compter de l’obtention initiale des données personnelles. Cette période maximale d’un mois peut être réduite :

• si les données personnelles sont utilisées à des fins de communication avec la personne concernée. Dans ce cas, vous devez informer la personne concernée au plus tard au moment de la première communication à la personne concernée ;
• si les données sont transmises à un autre destinataire, l’organisme en informe les personnes concernées au plus tard au moment du transfert des données personnelles. 

Plus d’informations :

• Respecter les droits des individus

The dispute resolution mechanism triggered under Art.65.1 (a) and (b) GDPR contributes to the good functioning of the cooperation mechanism by addressing any disagreements Concerned Supervisory Authorities (CSAs) may have in a given case or if there are conflicting views as to which authority is the Lead Supervisory Authority (LSA).
The EDPB will act as a dispute resolution body. It must adopt a decision to address the conflict between the involved Data Protection Authorities (DPAs), which is binding on them (Art. 65 GDPR). The decision is adopted by a two-thirds majority of the members of the Board, and in case a decision cannot be adopted within 2 months, the decision is adopted within the next 2 weeks by a simple majority.

The European Data Protection Supervisor (EDPS) is a Member of the European Data Protection Board. In addition, the EDPS provides the EDPB Secretariat. The Secretariat offers administrative and logistic support to the EDPB, performs analytical work and contributes to the EDPB’s tasks.

Although staff at the Secretariat is employed by the EDPS, staff members only work under the instructions of the Chair of the EDPB.

The terms of cooperation between the EDPB and the EDPS are established by the Memorandum of Understanding.

Tout organisme, quelle que soit sa taille ou son secteur, établi dans l’Espace économique européen (EEE) ou offrant des produits ou des services à des particuliers dans l’EEE, traitant des données personnelles, de manière automatisée ou non, doit se conformer au RGPD. Même si le RGPD concerne principalement le traitement automatisé de données personnelles, les opérations de traitement effectuées manuellement seront également soumises au RGPD à partir du moment où les fichiers papier sont organisés de manière systématique, par exemple par ordre alphabétique dans un classeur. 

Des exemples d’opérations de traitement comprennent la collecte, l’enregistrement, l’organisation, l’utilisation, la modification, le stockage, la divulgation, la modification et l’effacement de données personnelles.

Néanmoins, les règles applicables du RGPD dépendent de la nature, du contexte, des finalités et des risques des opérations de traitement effectuées. Pour les PME dont l’activité principale n’est pas le traitement de données personnelles, les obligations peuvent être moins strictes que pour une grande entreprise.

Plus d’informations :

• Les bases de la protection des données
   

La tâche du DPD comprend, entre autres :

• informer et conseiller l’organisme et ses employés sur la conformité à la protection des données ;
• contrôler la conformité à la protection des données;
• fournir des conseils sur les demandes concernant l’analyse d’impact sur la protection des données (AIPD);
• agir en tant que point de contact pour l’autorité de protection des données compétente et coopérer avec elle ;
• agir comme point de contact pour les particuliers.

En outre, la présence du DPD est généralement recommandée lorsque des décisions ayant des implications en matière de protection des données sont prises. Le DPD devrait également être consulté rapidement une fois qu’une violation de données ou un autre incident s’est produit.

Plus d’informations :

• Le délégué à la protection des données

Le RGPD impose des obligations à tous les organismes qui traitent des données personnelles, qu’il s’agisse de responsables du traitement ou de sous-traitants de données.
En particulier, vous devriez :

• Demandez-vous si la finalité pour laquelle des données personnelles peuvent être collectées sont justifiées et ne recueillent que les données personnelles nécessaires à la ou aux finalité(s) spécifique(s) envisagée(s) ;
• Assurer l’exactitude et la mise à jour des données personnelles des personnes physiques et les supprimer lorsqu’elles ne sont plus nécessaires;
• Respecter les droits des personnes en les informant sur les modalités et les raisons du traitement de leurs données et en leur permettant d’exercer leurs droits;
• Vérifiez si vous disposez d’une base juridique appropriée pour le traitement des données personnelles. Si vous avez l’intention de vous fier au consentement d’individus, demandez leur consentement avant de traiter leurs données personnelles;
• Veiller à ce que les données personnelles des personnes soient traitées de manière sécurisée;
• Tenir un registre des opérations de traitement.

Les sous-traitants devront respecter les responsabilités énoncées dans le contrat sous-traitant, et ils ne doivent pas traiter les données autrement que conformément aux instructions du responsable du traitement.

Plus d’informations:

• Être conforme
• Responsable du traitement des données ou sous-traitant
• Bases de la protection des données

• Tout traitement de données personnelles doit être licite, équitable et transparent.
• Ne recueillent des données personnelles qu’à des fins spécifiées, explicites et légitimes. Le traitement des données d’une personne doit être strictement limité à la ou aux finalités initialement établies, et donc ne pas être traité à des fins ultérieures ou autres qui sont incompatibles avec les finalités initiales.
• Ne traitent que les données personnelles nécessaires et proportionnées à la lumière de l’objectif envisagé.
• Toutes les données personnelles que vous traitez doivent être exactes et mises à jour. Les données personnelles inexactes doivent être rectifiées ou effacées.
• Le stockage des données personnelles des personnes physiques doit être limité dans le temps, compte tenu de la finalité pour laquelle ces données ont été collectées et traitées. En tant que telles, les données personnelles des personnes doivent être supprimées ou anonymisées une fois que ces données ne sont plus nécessaires.
• Le traitement des données personnelles doit se faire de manière sécurisée. En ce sens, de solides contrôles de cybersécurité doivent être mis en place pour garantir une protection adéquate des données des individus.

Enfin, le responsable du traitement est responsable. Cela signifie qu’il est responsable et doit être en mesure de démontrer le respect des principes ci-dessus.

Plus d’informations:

• Les bases de la protection des données

Vous ne pouvez pas stocker des données personnelles pour toujours.

En règle générale, les données personnelles ne peuvent être conservées que le temps nécessaire pour atteindre les objectifs pour lesquels les données personnelles sont traitées.

Dans certains cas, la durée de conservation des données peut être déterminée par des lois spécifiques. Par exemple, la réglementation du travail détermine une durée de conservation pour les bulletins de salaire.

Les organismes devraient mettre en place des politiques de conservation des données pour s’assurer que les données personnelles ne sont pas conservées plus longtemps que nécessaire. Les données personnelles des personnes doivent être supprimées ou anonymisées une fois qu’elles ne sont plus nécessaires pour atteindre les objectifs pour lesquelles elles ont été traitées. 
 

Plus d’informations :

• Les bases de la protection des données

The EDPB brings together the EU DPAs and the European Data Protection Supervisor (EDPS). The EEA EFTA countries (Iceland, Liechtenstein and Norway) are also members with regard to GDPR-related matters and without the rights to vote and to be elected as chair or deputy chair. The European Commission and - with regard to GDPR-related matters - the EFTA Surveillance Authority have the right to participate in the activities and meetings of the Board without voting rights.

You can find an overview of the EEA DPAs here.

When a Lead Supervisory Authority (LSA) issues a draft decision, it consults the Concerned Supervisory Authorities (CSAs), which can express their disagreement with the draft decision by submitting relevant and reasoned objections (RRO) within a period of four weeks (Art. 60.4 GDPR).
When none of the CSAs objects, the LSA may proceed to adopt the decision.

In case at least one of the CSAs has expressed an RRO, and if the LSA intends to follow the objection, it shall submit a revised draft decision to all the CSAs. The CSAs then have a period of two weeks (Art. 60.5 GDPR) to express their RROs to the revised draft decision.

However, if the LSA does not intend to follow the objection(s), since no consensus can be reached, the consistency mechanism is triggered. This means that the LSA is obliged to refer the case to the European Data Protection Board (EDPB) and the dispute resolution role of the EDPB is activated (Art. 65.1(a) GDPR).

The dispute resolution mechanism can be triggered in two further cases:

• there is a disagreement as to which authority is the LSA (Art. 65.1(b) GDPR);
• an SA does not seek the opinion of the EDPB as obliged under Art. 64.1 GDPR or does not follow such an opinion (Art. 64.1 - 2 GDPR) (Art. 65.1(c) GDPR).

L’EDPB n’est pas compétent pour exercer un contrôle sur les activités des APD à la demande de particuliers.

Veuillez noter que la compétence pour émettre des orientations générales ne peut être comprise comme un mécanisme permettant au comité européen de la protection des données d’exercer un contrôle sur la manière dont les APD traitent votre cas individuel. 

Si vous estimez que le RGPD a été enfreint et que vous n’êtes pas satisfait de la réponse de l’APD, la solution restante consiste à engager une procédure judiciaire.

D’une manière générale, chaque organisation doit tenir un registre de ses activités de traitement. Il s’agit d’un inventaire de toutes les opérations de traitement et peut vous aider à déterminer correctement vos responsabilités au regard du RGPD et les risques possibles.
Chacune de ces opérations de traitement doit être décrite dans le registre avec les informations suivantes :

• la finalité du traitement (par exemple, la fidélité du client) ;
• les catégories de données traitées (par exemple, pour les bulletins de salaire : nom, prénom, date de naissance, salaire, etc.) ;
• qui a accès aux données (ou destinataires, par exemple : le service en charge du recrutement, du service informatique, de la direction, ou des prestataires de services, des partenaires commerciaux...) ;
• Si nécessaire, les informations relatives aux transferts de données personnelles en dehors de l’Espace économique européen (EEE),
• dans la mesure du possible, la durée de conservation des données (c’est-à-dire la durée pendant laquelle les données sont utiles d’un point de vue opérationnel ou d’archivage).
• dans la mesure du possible, une description générale des mesures de sécurité.

Le registre des activités de traitement relève de la responsabilité du responsable de votre organisme.
Cet enregistrement doit être mis à la disposition de l’autorité de protection des données du pays de l’EEE où vous exercez vos activités, à leur demande.

Les organisations employant moins de 250 personnes n’ont pas d’obligation à indiquer des activités purement occasionnelles dans leur dossier (par exemple, les données traitées pour des évènements ponctuels tels que l’ouverture d’un magasin).

Plus d’informations :

• Se mettre en conformité
   

Les DPD peuvent remplir d’autres missions au sein de l’organisation, mais cela ne peut pas entraîner un conflit d’intérêts. Cela implique que le DPD ne peut pas avoir une position dans laquelle il détermine les finalités et les moyens des activités de traitement. Les fonctions contradictoires comprennent principalement des postes de direction (chef de la direction, chef des opérations, chef des finances, chef des ressources humaines, chef de l’informatique, directeur général), mais peuvent également concerner d’autres fonctions si elles conduisent à la détermination des finalités et des moyens de traitement.
Le DPD doit être en mesure d’exercer ses fonctions et missions de manière indépendante. Cela signifie que votre organisme :

• ne peut pas donner d’instructions au DPD en ce qui concerne l’exercice de ses fonctions ;
• ne peut sanctionner ou licencier le DPD pour l’accomplissement de ses missions.

Plus d’informations :

• Le délégué à la protection des données