Le DPD ne saurait être tenu responsable du non-respect du RGPD. Le respect du RGPD relève de la responsabilité de l’organisme qui a désigné le DPD.

Plus d’informations :

• Le délégué à la protection des données

Non, le traitement de données sensibles est généralement interdit, sauf dans des circonstances très spécifiques :

• La personne a donné son consentement explicite pour le traitement de ses données sensibles.
• Le traitement des données sensibles est nécessaire pour que le responsable du traitement puisse remplir ses obligations, notamment dans le contexte de l’emploi, de la sécurité sociale et de la protection sociale. Par exemple, le responsable du traitement peut avoir besoin de traiter les données sensibles d’une personne pour pouvoir déterminer si elle a droit à certaines prestations de sécurité sociale ou à des allocations d’emploi.
• Le traitement de données sensibles est nécessaire pour protéger les intérêts vitaux d’une personne lorsque l’individu est physiquement ou légalement incapable de donner son consentement. Par exemple, si une personne est inconsciente à la suite d’un accident et nécessite des soins médicaux immédiats, ses données de santé peuvent avoir besoin d’être traitées pour que les soins médicaux appropriés soient dispensés.
• Le traitement de données sensibles s’effectue dans le cadre des activités légitimes d’une fondation, d’une association ou d’une autre organisation à but non lucratif ayant un but politique, philosophique, religieux ou syndical, et uniquement pour le traitement des données personnelles de leurs membres, anciens membres ou personnes ayant des contacts réguliers avec eux.
• Les données sensibles ont été manifestement rendues publiques par les individus.
• Le traitement des données sensibles est nécessaire dans le cadre d’une procédure judiciaire.
• Le traitement des données sensibles est nécessaire pour des questions d’intérêt public substantiel.
• Le traitement de données sensibles est nécessaire dans le cadre de la médecine préventive ou de la médecine du travail. Par exemple, l’évaluation des données sensibles d’une personne, telles que ses données médicales, peut être nécessaire pour déterminer sa capacité de travail en tant qu’employé.
• Le traitement de données sensibles est nécessaire pour des questions de santé publique sur la base du droit de l’Union ou du droit national. Par exemple, le traitement des données sensibles des personnes peut être nécessaire pour garantir une qualité élevée des soins de santé et une qualité élevée des produits médicaux, ou pour lutter contre les menaces graves pour la santé, telles que les virus.
• Le traitement de données sensibles est nécessaire à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Par exemple, le traitement de données sensibles peut être nécessaire pour fournir des statistiques précises sur la situation d’un pays dans un domaine particulier. 
   

Plus d’informations:

• Traiter les données personnelles de manière licite

Le consentement pourrait, en effet, constituer une base juridique valable pour stocker les CV de candidats. Une autre base légale possible pourrait être l’intérêt légitime. Dans ce cas, vous devrez effectuer un test de « mise en balance » pour prouver que les intérêts légitimes de votre organisation l’emportent sur les droits des candidats.

En tout état de cause, vous devrez informer les candidats que vous envisagez de conserver leurs données et à quelles fins.

Plus d’informations :

• Traiter les données personnelles de manière licite

Oui, mais vous devrez d’abord déterminer la base légale du traitement de ce type de données personnelles. Par exemple, le traitement pourrait être considéré comme un intérêt légitime pour votre organisme. Lors du traitement de données personnelles sur la base d’un intérêt légitime, il est toujours nécessaire de procéder à un test de « mise en balance » pour déterminer si vos intérêts légitimes l’emportent sur les droits des personnes, en particulier si des enfants sont impliqués.

Une autre base légale possible pour ce traitement pourrait être le consentement. En tout état de cause, les individus doivent toujours être informés à l’avance que l’événement est photographié ou filmé.

Plus d’informations :

• Traiter les données personnelles de manière licite

Vous devez répondre dans les meilleurs délais et, au plus tard, dans un délai d’un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires si la demande est trop complexe et qu’il faut plus de temps pour y répondre, à condition que la personne en soit informée dans un délai d’un mois à compter de la réception de la demande.

Vous devez le faire gratuitement.

Plus d’informations :

• Respecter les droits des individus

Vous ne pouvez pas stocker des données personnelles pour toujours.

En règle générale, les données personnelles ne peuvent être conservées que le temps nécessaire pour atteindre les objectifs pour lesquels les données personnelles sont traitées.

Dans certains cas, la durée de conservation des données peut être déterminée par des lois spécifiques. Par exemple, la réglementation du travail détermine une durée de conservation pour les bulletins de salaire.

Les organismes devraient mettre en place des politiques de conservation des données pour s’assurer que les données personnelles ne sont pas conservées plus longtemps que nécessaire. Les données personnelles des personnes doivent être supprimées ou anonymisées une fois qu’elles ne sont plus nécessaires pour atteindre les objectifs pour lesquelles elles ont été traitées. 
 

Plus d’informations :

• Les bases de la protection des données

Les personnes physiques ont le droit de demander l’effacement des données personnelles les concernant : dans ce cas, le responsable du traitement a l’obligation de les effacer. Vous devez répondre dans les meilleurs délais et au plus tard dans un délai d’un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires si la demande est trop complexe et qu’il faut plus de temps pour donner suite à la demande, à condition que la personne concernée en soit informée dans un délai d’un mois à compter de la réception de la demande.
Il est important de noter que le droit à l’effacement n’est pas absolu. Il ne s’applique pas lorsque les données en question sont nécessaires pour :

• l’exercice du droit à la liberté d’expression et d’information (par exemple à des fins journalistiques) ;
• le respect d’une obligation légale qui exige le traitement des données personnelles (par exemple, le traitement des dossiers sur les heures de travail des employés) ;
• des raisons d’intérêt public dans le domaine de la santé publique ;
• des fins d’archivage dans l’intérêt public ou pour la recherche scientifique ou historique, ou pour des fins statistiques ; et
• la constatation, l’exercice ou la défense de droits en justice.

Lorsque les données personnelles à effacer ont déjà été transférées à d’autres organismes, vous devez informer ces destinataires que la personne a demandé l’effacement, sauf si cela s’avère impossible ou nécessiterait des efforts disproportionnés.

Plus d’informations :

• Respecter les droits des individus

Le RGPD prévoit des droits spécifiques pour les personnes qui doivent être respectés. Vous pouvez le faire :

• en informant les personnes dont vous traitez les données de vos opérations de traitement et de ses finalités lorsque vous collectez leurs données, par exemple via une déclaration de confidentialité sur votre site web ;
• en répondant aux demandes d’exercice des droits des individus : accès, rectification, opposition, effacement ou portabilité.

Les organismes transparents quant à leur utilisation des données personnelles et qui respectent les droits des personnes sont moins susceptibles de faire l’objet de plaintes.

Plus d’informations :

• Respecter les droits des individus

Pour que le consentement soit considéré comme valide, il doit être :

• libre ;
• spécifique ;
• informé ; et
• univoque.

Cela signifie que les personnes doivent avoir un choix véritablement libre pour le traitement de leurs données personnelles. Elles ont besoin d’informations suffisantes pour pouvoir comprendre quelles données sont traitées, à quelles fins et par quels moyens. Elles ont également besoin de pouvoir répondre de manière suffisamment spécifique dans les demandes de consentement.

En outre, il devrait y avoir une action positive claire de la part de l’individu (cases non pré-cochées et  séparées de l’acceptation des conditions générales applicables).

En outre, les individus doivent pouvoir retirer librement leur consentement (sans conséquences négatives) s’ils changent d’avis plus tard.

Plus d’informations :

• Traiter les données personnelles de manière licite

Les mesures de sécurité nécessaires peuvent varier en fonction de la nature des données personnelles que vous traitez et des risques associés pour les individus. Dans tous les cas, il y a quelques mesures minimales que vous devriez mettre en place :

• sécuriser l’accès aux locaux ;
• utiliser un logiciel antivirus régulièrement mis à jour ;
• choisir soigneusement vos mots de passe;
• authentifier les utilisateurs avant d’utiliser les installations informatiques;
• disposer d’une politique de sauvegarde et de récupération des données en cas d’incident.

En outre, certaines mesures de base telles que verrouiller votre écran pendant votre absence et votre bureau à la fin de la journée sont toujours pertinentes.

Plus d’informations :

• Sécuriser les données personnelles