Frequently Asked Questions

Une violation de données personnelles est un incident de sécurité entraînant la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée de données personnelles ou l’accès à celles-ci.

• Si la violation de données présente un risque pour les personnes concernées, vous devez la signaler à l’autorité compétente en matière de protection des données dans un délai de 72 heures.
• Si la violation est susceptible d’entraîner un risque élevé pour les personnes, vous devrez également communiquer cette violation aux personnes concernées dans les meilleurs délais.

En tout état de cause, pour toutes les infractions – même celles qui ne sont pas notifiées à un autorité de protection des données – vous devez consigner au moins les détails de base de la violation, l’évaluation de celle-ci, ses effets et les mesures prises pour y répondre.

Plus d’informations :

• Violations de données

Le RGPD prévoit des droits spécifiques pour les personnes qui doivent être respectés. Vous pouvez le faire :

• en informant les personnes dont vous traitez les données de vos opérations de traitement et de ses finalités lorsque vous collectez leurs données, par exemple via une déclaration de confidentialité sur votre site web ;
• en répondant aux demandes d’exercice des droits des individus : accès, rectification, opposition, effacement ou portabilité.

Les organismes transparents quant à leur utilisation des données personnelles et qui respectent les droits des personnes sont moins susceptibles de faire l’objet de plaintes.

Plus d’informations :

• Respecter les droits des individus

Le comité de contrôle de coordination (ci-après le «CSC») – qui existe au sein de l’EDPB – coordonne le contrôle du traitement des données à caractère personnel dans le Système d’Information Schengen (ci-après le «SIS»). La législation pertinente de l’Union est le règlement (UE) 2018/1862 (en particulier son article 71) et le règlement (UE) 2018/1861 (en particulier son article 57).

Pour les données personnelles incluses dans le SIS, vous disposez de droits d'accès, de rectification et d'effacement. Ces droits comprennent:

• le droit de savoir si des informations vous concernant sont traitées dans le SIS;
• Le droit d'accès à ces données;
• Le droit à la correction de données inexactes ou à l'effacement lorsque ces données ont été stockées illégalement; et
• Le droit de saisir les tribunaux, votre autorité de protection des données et/ou les autorités compétentes, selon le cas, pour corriger ou supprimer des données vous concernant ou pour obtenir une indemnisation.

Pour exercer vos droits, veuillez contacter votre autorité nationale compétente, dans le pays Schengen de votre choix. Pour de plus amples informations sur les autorités nationales compétentes et sur l’autorité chargée de la protection des données dans chaque pays Schengen, veuillez consulter le «Guide pour l’exercice des droits des personnes concernées», disponible sur notre site web. Vous y trouverez également des modèles de lettres pour vous assister dans l'exercice de vos droits. 

Veuillez noter que l’EDPB n’est pas compétent pour traiter les plaintes ou demandes individuelles. En outre, l’EDPB n’a pas accès au contenu de ces systèmes d’information et bases de données.

De plus amples informations sur la manière d’exercer vos droits sont disponibles sur notre site web https://www.edpb.europa.eu/our-work-tools/our-documents/csc-data-subject-rights/schengen-information-system-guide-exercising_fr.

Le CEPD publie régulièrement des communiqués de presse, des articles d’actualité, des billets de blog et d’autres contenus sur son site web et ses canaux de médias sociaux (Twitter: @EU_EDPB; LinkedIn: European Data Protection Board) pour informer la communauté de la protection des données et le grand public sur ses travaux.

Le site web du CEPD dispose également de deux flux RSS, auxquels vous pouvez vous abonner pour recevoir des mises à jour automatiques sur les actualités du CEPD et ses dernières publications.

Le RGPD ou le règlement général sur la protection des données crée un ensemble harmonisé de règles applicables à tous les traitements de données personnelles effectués par des organisations (publiques ou privées, quelle que soit leur taille) établies dans l’Espace économique européen (EEE) ou ciblant des personnes physiques dans l’UE. L’objectif principal du RGPD est de veiller à ce que les données personnelles bénéficient du même niveau de protection élevé partout dans l’EEE, d’accroître la sécurité juridique tant pour les personnes physiques que pour les organisations qui traitent des données, et d’offrir un degré élevé de protection aux individus.

Le règlement est entré en vigueur le 24 mai 2016 et s’applique depuis le 25 mai 2018.

All individuals residing in the European Economic Area (EEA) have the right to the protection of their personal data.

More specifically, under the GDPR, you have several rights

• Right to be informed
• Right of access
• Right to rectification
• Right to restriction of processing
• Right to data portability
• Right to object
• Right not be subject to a decision based solely on automated processing.

For more information on your rights, please consult our leaflet The GDPR and your rights or the EDPB Data Protection Guide for small business.

Oui, le RGPD s’applique si les données personnelles sont contenues ou sont destinées à être contenues dans un système de classement. Cela signifie que le RGPD s’applique également aux enregistrements papier et pas uniquement au traitement automatisé de données personnelles.

Plus d’informations :

• Bases de la protection des données

Lorsqu’il y a deux ou plusieurs responsables du traitement qui déterminent conjointement la finalité et les moyens du traitement, ils sont considérés comme des responsables conjoints du traitement. Ils décident ensemble de traiter les données personnelles à des fins communes. Cette responsabilité conjointe peut prendre de nombreuses formes et la participation des différents responsables de traitement peut être inégale. Les responsables conjoints du traitement doivent donc déterminer leurs responsabilités respectives en ce qui concerne le respect du RGPD.

Il est important de noter qu’être responsable de traitement conjoint implique la responsabilité partagée d’une activité de traitement.

• Exemple de responsabilité de traitement conjointe : Les entreprises A et B ont lancé un produit en collaboration et souhaitent organiser un évènement pour promouvoir ce produit. À cette fin, ils décident de partager les données de leurs bases de données client et prospects respectifs et décident de la liste des invités à l’événement sur cette base. Ils s’accordent également sur les modalités d’envoi des invitations à l’événement, sur la manière de recueillir des commentaires lors de l’événement et sur les actions marketing de suivi. Les entreprises A et B peuvent être considérées comme des responsables conjoints du traitement des données personnelles liées à l’organisation de l’événement promotionnel, car elles décident ensemble de la finalité définie conjointement et des moyens essentiels du traitement des données dans ce contexte.
   

Plus d’informations :

• Responsable du traitement des données ou sous-traitant
   

Oui, mais vous devrez d’abord déterminer la base légale du traitement de ce type de données personnelles. Par exemple, le traitement pourrait être considéré comme un intérêt légitime pour votre organisme. Lors du traitement de données personnelles sur la base d’un intérêt légitime, il est toujours nécessaire de procéder à un test de « mise en balance » pour déterminer si vos intérêts légitimes l’emportent sur les droits des personnes, en particulier si des enfants sont impliqués.

Une autre base légale possible pour ce traitement pourrait être le consentement. En tout état de cause, les individus doivent toujours être informés à l’avance que l’événement est photographié ou filmé.

Plus d’informations :

• Traiter les données personnelles de manière licite

Le consentement pourrait, en effet, constituer une base juridique valable pour stocker les CV de candidats. Une autre base légale possible pourrait être l’intérêt légitime. Dans ce cas, vous devrez effectuer un test de « mise en balance » pour prouver que les intérêts légitimes de votre organisation l’emportent sur les droits des candidats.

En tout état de cause, vous devrez informer les candidats que vous envisagez de conserver leurs données et à quelles fins.

Plus d’informations :

• Traiter les données personnelles de manière licite

La Commission Européenne peut décider si un pays en dehors de l’Europe (ou une organisation internationale) offre un niveau «adéquat» de protection des données, ce qui facilite les flux de données entre l’Europe et ce pays. 

L’EDPB est chargé d’émettre des avis sur les projets de décisions d’adéquation, avant la décision de la Commission Européenne. Les avis ne sont pas contraignants pour la Commission Européenne, mais sont généralement utiles pour les autres organisations consultées dans ce cadre, telles que les États membres de l’UE.

En outre, la Commission Européenne est compétente pour suivre les évolutions dans les pays non européens susceptibles d’influer sur les décisions d’adéquation. Certaines décisions d’adéquation prévoient une régularité spécifique pour le réexamen de la décision et peuvent faire référence à la possibilité pour les représentants de l’EDPB de participer au processus de réexamen organisé par la Commission Européenne.

Veuillez également noter que les autorités européennes de protection des données peuvent protéger les personnes physiques en ce qui concerne les transferts de données effectués dans le cadre d’une décision d’adéquation (veuillez en trouver la liste sur notre site web: https://edpb.europa.eu/about-edpb/our-members).

Si vous estimez qu’une décision d’adéquation existante n’est pas conforme à vos droits fondamentaux à la vie privée et à la protection des données, vous pouvez introduire une réclamation auprès de votre autorité de protection des données, qui peut porter ces objections devant une juridiction nationale qui peut être tenue de saisir la Cour de justice d’un renvoi préjudiciel [voir l’article 58, paragraphe 5, du RGPD et l’arrêt de la Cour de justice dans l’affaire C-362/14, Schrems].

Pour de plus amples informations, veuillez consulter: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_fr

Unfortunately, the EDPB cannot consider late contributions as part of the public consultation.

Le traitement des données personnelles est autorisé s’il repose sur une base légale. Outre le consentement libre, spécifique, éclairé et univoque, d’autres bases légales pour le traitement peuvent être utilisées.

En d’autres termes, le consentement est nécessaire lorsqu’aucune des autres bases légale ne s’applique.

Plus d’informations :

• Traiter les données personnelles de manière licite

Non, vous n’avez pas besoin d’être certifié pour devenir DPD.

Les DPD doivent toutefois être en mesure de démontrer qu’ils possèdent les qualifications requises par le RGPD, telles qu’une expertise en droit et pratiques sur la protection des données.

Plus d’informations :

• Délégué à la protection des données
   

Une analyse d’impact sur la protection des données ou AIPD est une évaluation écrite que votre organisme devrait effectuer pour évaluer l’impact d’une opération de traitement planifiée. Il vous aide à identifier les mesures appropriées pour faire face aux risques et à démontrer votre conformité.

S’il est toujours préférable d’anticiper l’impact des opérations de traitement planifiées de votre organisme en effectuant une AIPD, il est obligatoire d’effectuer une AIPD lorsque le traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des individus.

En particulier, c’est le cas lorsque le traitement envisagé implique :

• le traitement – à grande échelle – de données personnelles sensibles ou de données relatives à des condamnations pénales ; 
• l’évaluation systématique et approfondie des aspects personnels d’une personne fondée sur un traitement automatisé, y compris le profilage, et sur laquelle sont fondées les décisions qui produisent des effets juridiques à l’égard de l’individu en question ou qui affectent les individus de manière significative ;
• la surveillance systématique d’une zone accessible au public à grande échelle.

Le CEPD a élaboré des lignes directrices qui énumèrent les critères à prendre en compte pour évaluer si une AIPD est obligatoire ou non. Les autorités chargées de la protection des données ont également publié des listes d’opérations de traitement qui font l’objet d’une AIPD. De plus, plusieurs autorités ont développé des guides, des logiciels ou des outils d’autoévaluation pour vous aider dans votre évaluation (par exemple la CNIL en France).

Plus d’informations :

• Se mettre en conformité

Les responsables du traitement des données ne peuvent traiter des données personnelles que dans l’une des circonstances suivantes :

• avec le consentement des personnes concernées;
• lorsque le traitement est nécessaire à l’exécution d’un contrat (contrat entre votre organisation et un particulier);
• pour satisfaire à une obligation légale en vertu de la législation de l’UE ou de la législation nationale;
• lorsque le traitement est nécessaire à l’exécution d’une mission effectuée dans l’intérêt public en vertu de la législation de l’UE ou de la législation nationale;
• protéger les intérêts vitaux d’un individu;
• pour les intérêts légitimes de votre organisation – sauf si les droits et libertés des individus l’emportent sur vos intérêts.

En outre, le RGPD établit des conditions supplémentaires pour le traitement des données sensibles.

Plus d’informations :

• Traiter les données personnelles de manière licite

Oui, les sous-traitants (c’est-à-dire les personnes physiques ou les organismes qui traitent des données pour le compte d’un responsable du traitement) ont des obligations en vertu du RGPD. Il existe toutefois des différences entre les responsabilités des responsables du traitement et des sous-traitants.

Les sous-traitants doivent respecter les responsabilités énoncées dans un contrat conclu avec le responsable de traitement qui détaille les opérations de traitement des données personnelles et des moyens mis en place. Par exemple, le sous-traitant devra effectuer les opérations de traitement avec les mesures techniques et organisationnelles appropriées, conformément aux instructions du responsable du traitement. Ainsi, le sous-traitant aide le responsable du traitement à se conformer au RGPD.

Plus d’informations :

• Responsable du traitement ou sous-traitant
   

Le contrat entre le responsable du traitement et le sous-traitant doit stipuler que ce dernier :

• traite les données personnelles uniquement sur instruction du responsable du traitement, y compris en ce qui concerne les transferts de données personnelles vers un pays situé en dehors de l’EEE ;
• veille à ce que les personnes autorisées à traiter les données se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
• assure la sécurité du traitement ;
• ne fasse pas appel à un autre sous-traitant sans l’autorisation écrite spécifique ou générale préalable du responsable du traitement ;
• assiste le responsable du traitement pour l’exécution des obligations du responsable du traitement pour répondre aux demandes d’exercice des droits des personnes ;
• aide le responsable du traitement à sécuriser le traitement, à notifier les violations de données et à effectuer des AIPD;
• au choix du responsable du traitement, supprime ou renvoie toutes les données personnelles au responsable du traitement après la fin de la prestation des services ;
• mette à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations découlant du RGPD;
• permette et contribue aux audits, y compris ceux effectués par le responsable du traitement des données ou un autre auditeur mandaté par le responsable du traitement des données.

En outre, le sous-traitant informe immédiatement le responsable du traitement si, à son avis, des instructions enfreignent le RGPD ou d’autres dispositions de l’UE ou nationales en matière de protection des données.

 Plus d’informations :

• Responsable de traitement ou sous-traitant

En vertu du RGPD, il existe, en principe, deux principaux moyens de transférer des données personnelles vers un pays non membre de l’EEE ou une organisation internationale. Les transferts peuvent avoir lieu sur la base d’une décision d’adéquation ou, en l’absence d’une telle décision, sur la base de garanties appropriées, y compris des droits et des voies de recours pour les personnes physiques.

Plus d’informations :

• Transferts internationaux

Le DPD ne saurait être tenu responsable du non-respect du RGPD. Le respect du RGPD relève de la responsabilité de l’organisme qui a désigné le DPD.

Plus d’informations :

• Le délégué à la protection des données