Un traitement de données personnelles désigne tout type d’activité (opération de traitement) effectuée sur, ou avec, les données personnelles des personnes physiques. Cela inclut la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction de données personnelles.

Les DPD peuvent remplir d’autres missions au sein de l’organisation, mais cela ne peut pas entraîner un conflit d’intérêts. Cela implique que le DPD ne peut pas avoir une position dans laquelle il détermine les finalités et les moyens des activités de traitement. Les fonctions contradictoires comprennent principalement des postes de direction (chef de la direction, chef des opérations, chef des finances, chef des ressources humaines, chef de l’informatique, directeur général), mais peuvent également concerner d’autres fonctions si elles conduisent à la détermination des finalités et des moyens de traitement.
Le DPD doit être en mesure d’exercer ses fonctions et missions de manière indépendante. Cela signifie que votre organisme :

• ne peut pas donner d’instructions au DPD en ce qui concerne l’exercice de ses fonctions ;
• ne peut sanctionner ou licencier le DPD pour l’accomplissement de ses missions.

Plus d’informations :

• Le délégué à la protection des données

Un contrat valide entre le responsable du traitement et le sous-traitant est obligatoire en vertu du RGPD. Une infraction peut faire l’objet d’une amende administrative pouvant aller jusqu’à 10 millions d’euros ou jusqu’à 2 % du chiffre d’affaires annuel total d’une entreprise, le montant le plus élevé étant retenu.

Pour vous guider lors de la mise en place d’un accord responsable du traitement des données, les autorités danoises et slovènes chargées de la protection des données, ainsi que la Commission européenne, ont élaboré des modèles de contrat.

Plus d’informations :

• Responsable du traitement des données ou sous-traitant
   

La tâche du DPD comprend, entre autres :

• informer et conseiller l’organisme et ses employés sur la conformité à la protection des données ;
• contrôler la conformité à la protection des données;
• fournir des conseils sur les demandes concernant l’analyse d’impact sur la protection des données (AIPD);
• agir en tant que point de contact pour l’autorité de protection des données compétente et coopérer avec elle ;
• agir comme point de contact pour les particuliers.

En outre, la présence du DPD est généralement recommandée lorsque des décisions ayant des implications en matière de protection des données sont prises. Le DPD devrait également être consulté rapidement une fois qu’une violation de données ou un autre incident s’est produit.

Plus d’informations :

• Le délégué à la protection des données

Le respect du RGPD est contrôlé par les autorités nationales de protection des données. Les autorités de protection des données peuvent mener des enquêtes et imposer des sanctions si nécessaire. Ces autorités disposent d’un certain nombre d’outils, dont des amendes allant jusqu’à 20 millions d’euros, soit 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu), des rappels à l’ordre et des interdictions de traitement temporaires ou permanentes.

Vous trouverez les coordonnées de toutes les autorités de protection des données de l’EEE sur le site web du CEPD : Membres

Plus d’informations :

• Les autorités de protection des données & vous
   

Les responsables du traitement des données ne peuvent traiter des données personnelles que dans l’une des circonstances suivantes :

• avec le consentement des personnes concernées;
• lorsque le traitement est nécessaire à l’exécution d’un contrat (contrat entre votre organisation et un particulier);
• pour satisfaire à une obligation légale en vertu de la législation de l’UE ou de la législation nationale;
• lorsque le traitement est nécessaire à l’exécution d’une mission effectuée dans l’intérêt public en vertu de la législation de l’UE ou de la législation nationale;
• protéger les intérêts vitaux d’un individu;
• pour les intérêts légitimes de votre organisation – sauf si les droits et libertés des individus l’emportent sur vos intérêts.

En outre, le RGPD établit des conditions supplémentaires pour le traitement des données sensibles.

Plus d’informations :

• Traiter les données personnelles de manière licite

• Tout traitement de données personnelles doit être licite, équitable et transparent.
• Ne recueillent des données personnelles qu’à des fins spécifiées, explicites et légitimes. Le traitement des données d’une personne doit être strictement limité à la ou aux finalités initialement établies, et donc ne pas être traité à des fins ultérieures ou autres qui sont incompatibles avec les finalités initiales.
• Ne traitent que les données personnelles nécessaires et proportionnées à la lumière de l’objectif envisagé.
• Toutes les données personnelles que vous traitez doivent être exactes et mises à jour. Les données personnelles inexactes doivent être rectifiées ou effacées.
• Le stockage des données personnelles des personnes physiques doit être limité dans le temps, compte tenu de la finalité pour laquelle ces données ont été collectées et traitées. En tant que telles, les données personnelles des personnes doivent être supprimées ou anonymisées une fois que ces données ne sont plus nécessaires.
• Le traitement des données personnelles doit se faire de manière sécurisée. En ce sens, de solides contrôles de cybersécurité doivent être mis en place pour garantir une protection adéquate des données des individus.

Enfin, le responsable du traitement est responsable. Cela signifie qu’il est responsable et doit être en mesure de démontrer le respect des principes ci-dessus.

Plus d’informations:

• Les bases de la protection des données

Le RGPD impose des obligations à tous les organismes qui traitent des données personnelles, qu’il s’agisse de responsables du traitement ou de sous-traitants de données.
En particulier, vous devriez :

• Demandez-vous si la finalité pour laquelle des données personnelles peuvent être collectées sont justifiées et ne recueillent que les données personnelles nécessaires à la ou aux finalité(s) spécifique(s) envisagée(s) ;
• Assurer l’exactitude et la mise à jour des données personnelles des personnes physiques et les supprimer lorsqu’elles ne sont plus nécessaires;
• Respecter les droits des personnes en les informant sur les modalités et les raisons du traitement de leurs données et en leur permettant d’exercer leurs droits;
• Vérifiez si vous disposez d’une base juridique appropriée pour le traitement des données personnelles. Si vous avez l’intention de vous fier au consentement d’individus, demandez leur consentement avant de traiter leurs données personnelles;
• Veiller à ce que les données personnelles des personnes soient traitées de manière sécurisée;
• Tenir un registre des opérations de traitement.

Les sous-traitants devront respecter les responsabilités énoncées dans le contrat sous-traitant, et ils ne doivent pas traiter les données autrement que conformément aux instructions du responsable du traitement.

Plus d’informations:

• Être conforme
• Responsable du traitement des données ou sous-traitant
• Bases de la protection des données

Les cookies sont de petits fichiers stockés sur un appareil, tels qu’un ordinateur, un appareil mobile ou tout autre appareil pouvant stocker des informations. Les cookies servent un certain nombre de fonctions importantes, y compris pour se souvenir des utilisateurs et de leurs interactions précédentes avec un site web. Ils peuvent être utilisés pour garder une trace des articles dans un panier d’achat en ligne ou pour garder une trace des informations lorsque les détails sont insérés dans un formulaire de demande en ligne.

Les cookies d’authentification sont également importants pour identifier les utilisateurs lorsqu’ils se connectent aux services bancaires et autres services en ligne. Les informations stockées dans les cookies peuvent inclure des données personnelles, telles qu’une adresse IP, un nom d’utilisateur, un identifiant unique ou une adresse e-mail.

La désignation d’un DPD est obligatoire dans les trois cas suivants :

• l’organisme est une autorité publique ;
• les activités de base de l’organisation consistent en un suivi régulier et systématique des individus à grande échelle, par exemple la géolocalisation via une application mobile, ou la surveillance des centres commerciaux et des espaces publics par le biais de la vidéosurveillance ;
• les activités principales de l’organisme consistent en un traitement à grande échelle de données sensibles ou de données personnelles relatives à des condamnations pénales et à des infractions.

Vous pouvez toujours désigner un DPD sur une base volontaire, même si cela n’est pas légalement requis. Veuillez noter que dans ce cas, vous devez vous conformer à toutes les dispositions du RGPD concernant les missions et la position du délégué à la protection des données dans l’organisme.

Plus d’informations :

• Le délégué à la protection des données