Les personnes physiques ont le droit de demander l’effacement des données personnelles les concernant : dans ce cas, le responsable du traitement a l’obligation de les effacer. Vous devez répondre dans les meilleurs délais et au plus tard dans un délai d’un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires si la demande est trop complexe et qu’il faut plus de temps pour donner suite à la demande, à condition que la personne concernée en soit informée dans un délai d’un mois à compter de la réception de la demande.
Il est important de noter que le droit à l’effacement n’est pas absolu. Il ne s’applique pas lorsque les données en question sont nécessaires pour :

• l’exercice du droit à la liberté d’expression et d’information (par exemple à des fins journalistiques) ;
• le respect d’une obligation légale qui exige le traitement des données personnelles (par exemple, le traitement des dossiers sur les heures de travail des employés) ;
• des raisons d’intérêt public dans le domaine de la santé publique ;
• des fins d’archivage dans l’intérêt public ou pour la recherche scientifique ou historique, ou pour des fins statistiques ; et
• la constatation, l’exercice ou la défense de droits en justice.

Lorsque les données personnelles à effacer ont déjà été transférées à d’autres organismes, vous devez informer ces destinataires que la personne a demandé l’effacement, sauf si cela s’avère impossible ou nécessiterait des efforts disproportionnés.

Plus d’informations :

• Respecter les droits des individus

Le RGPD prévoit des droits spécifiques pour les personnes qui doivent être respectés. Vous pouvez le faire :

• en informant les personnes dont vous traitez les données de vos opérations de traitement et de ses finalités lorsque vous collectez leurs données, par exemple via une déclaration de confidentialité sur votre site web ;
• en répondant aux demandes d’exercice des droits des individus : accès, rectification, opposition, effacement ou portabilité.

Les organismes transparents quant à leur utilisation des données personnelles et qui respectent les droits des personnes sont moins susceptibles de faire l’objet de plaintes.

Plus d’informations :

• Respecter les droits des individus

Pour que le consentement soit considéré comme valide, il doit être :

• libre ;
• spécifique ;
• informé ; et
• univoque.

Cela signifie que les personnes doivent avoir un choix véritablement libre pour le traitement de leurs données personnelles. Elles ont besoin d’informations suffisantes pour pouvoir comprendre quelles données sont traitées, à quelles fins et par quels moyens. Elles ont également besoin de pouvoir répondre de manière suffisamment spécifique dans les demandes de consentement.

En outre, il devrait y avoir une action positive claire de la part de l’individu (cases non pré-cochées et  séparées de l’acceptation des conditions générales applicables).

En outre, les individus doivent pouvoir retirer librement leur consentement (sans conséquences négatives) s’ils changent d’avis plus tard.

Plus d’informations :

• Traiter les données personnelles de manière licite

Les mesures de sécurité nécessaires peuvent varier en fonction de la nature des données personnelles que vous traitez et des risques associés pour les individus. Dans tous les cas, il y a quelques mesures minimales que vous devriez mettre en place :

• sécuriser l’accès aux locaux ;
• utiliser un logiciel antivirus régulièrement mis à jour ;
• choisir soigneusement vos mots de passe;
• authentifier les utilisateurs avant d’utiliser les installations informatiques;
• disposer d’une politique de sauvegarde et de récupération des données en cas d’incident.

En outre, certaines mesures de base telles que verrouiller votre écran pendant votre absence et votre bureau à la fin de la journée sont toujours pertinentes.

Plus d’informations :

• Sécuriser les données personnelles
   

Le CEPD publie régulièrement des communiqués de presse, des articles d’actualité, des billets de blog et d’autres contenus sur son site web et ses canaux de médias sociaux (Twitter: @EU_EDPB; LinkedIn: European Data Protection Board) pour informer la communauté de la protection des données et le grand public sur ses travaux.

Le site web du CEPD dispose également de deux flux RSS, auxquels vous pouvez vous abonner pour recevoir des mises à jour automatiques sur les actualités du CEPD et ses dernières publications.

Oui, le RGPD s’applique si les données personnelles sont contenues ou sont destinées à être contenues dans un système de classement. Cela signifie que le RGPD s’applique également aux enregistrements papier et pas uniquement au traitement automatisé de données personnelles.

Plus d’informations :

• Bases de la protection des données

Tout organisme, quelle que soit sa taille ou son secteur, établi dans l’Espace économique européen (EEE) ou offrant des produits ou des services à des particuliers dans l’EEE, traitant des données personnelles, de manière automatisée ou non, doit se conformer au RGPD. Même si le RGPD concerne principalement le traitement automatisé de données personnelles, les opérations de traitement effectuées manuellement seront également soumises au RGPD à partir du moment où les fichiers papier sont organisés de manière systématique, par exemple par ordre alphabétique dans un classeur. 

Des exemples d’opérations de traitement comprennent la collecte, l’enregistrement, l’organisation, l’utilisation, la modification, le stockage, la divulgation, la modification et l’effacement de données personnelles.

Néanmoins, les règles applicables du RGPD dépendent de la nature, du contexte, des finalités et des risques des opérations de traitement effectuées. Pour les PME dont l’activité principale n’est pas le traitement de données personnelles, les obligations peuvent être moins strictes que pour une grande entreprise.

Plus d’informations :

• Les bases de la protection des données
   

Non, vous n’avez pas besoin d’être certifié pour devenir DPD.

Les DPD doivent toutefois être en mesure de démontrer qu’ils possèdent les qualifications requises par le RGPD, telles qu’une expertise en droit et pratiques sur la protection des données.

Plus d’informations :

• Délégué à la protection des données
   

Le RGPD s’applique à l’utilisation de cookies lorsque ceux-ci sont utilisés pour traiter des données personnelles, mais il existe également des règles plus spécifiques pour les cookies, y compris la directive « vie privée et communications électroniques » (ePrivacy).

Le stockage d’un cookie, ou l’accès à un cookie déjà stocké, dans le terminal d’un utilisateur n’est autorisé qu’à condition que l’abonné ou l’utilisateur concerné ait été correctement informé (notamment des finalités du traitement) et ait donné son consentement.

La seule exception concerne les cookies techniquement nécessaires : les organismes n’ont pas besoin de demander le consentement lors de l’utilisation de ces cookies techniquement sur leurs sites web.

Plus d’informations :

• Traiter les données personnelles de manière licite
   

D’une manière générale, chaque organisation doit tenir un registre de ses activités de traitement. Il s’agit d’un inventaire de toutes les opérations de traitement et peut vous aider à déterminer correctement vos responsabilités au regard du RGPD et les risques possibles.
Chacune de ces opérations de traitement doit être décrite dans le registre avec les informations suivantes :

• la finalité du traitement (par exemple, la fidélité du client) ;
• les catégories de données traitées (par exemple, pour les bulletins de salaire : nom, prénom, date de naissance, salaire, etc.) ;
• qui a accès aux données (ou destinataires, par exemple : le service en charge du recrutement, du service informatique, de la direction, ou des prestataires de services, des partenaires commerciaux...) ;
• Si nécessaire, les informations relatives aux transferts de données personnelles en dehors de l’Espace économique européen (EEE),
• dans la mesure du possible, la durée de conservation des données (c’est-à-dire la durée pendant laquelle les données sont utiles d’un point de vue opérationnel ou d’archivage).
• dans la mesure du possible, une description générale des mesures de sécurité.

Le registre des activités de traitement relève de la responsabilité du responsable de votre organisme.
Cet enregistrement doit être mis à la disposition de l’autorité de protection des données du pays de l’EEE où vous exercez vos activités, à leur demande.

Les organisations employant moins de 250 personnes n’ont pas d’obligation à indiquer des activités purement occasionnelles dans leur dossier (par exemple, les données traitées pour des évènements ponctuels tels que l’ouverture d’un magasin).

Plus d’informations :

• Se mettre en conformité