Oui, les sous-traitants (c’est-à-dire les personnes physiques ou les organismes qui traitent des données pour le compte d’un responsable du traitement) ont des obligations en vertu du RGPD. Il existe toutefois des différences entre les responsabilités des responsables du traitement et des sous-traitants.

Les sous-traitants doivent respecter les responsabilités énoncées dans un contrat conclu avec le responsable de traitement qui détaille les opérations de traitement des données personnelles et des moyens mis en place. Par exemple, le sous-traitant devra effectuer les opérations de traitement avec les mesures techniques et organisationnelles appropriées, conformément aux instructions du responsable du traitement. Ainsi, le sous-traitant aide le responsable du traitement à se conformer au RGPD.

Plus d’informations :

• Responsable du traitement ou sous-traitant
   

En vertu du RGPD, il existe, en principe, deux principaux moyens de transférer des données personnelles vers un pays non membre de l’EEE ou une organisation internationale. Les transferts peuvent avoir lieu sur la base d’une décision d’adéquation ou, en l’absence d’une telle décision, sur la base de garanties appropriées, y compris des droits et des voies de recours pour les personnes physiques.

Plus d’informations :

• Transferts internationaux

Oui, vous pouvez, mais le RGPD impose certaines obligations aux entreprises qui partagent des données personnelles. Votre organisme doit informer les personnes que vous partagerez leurs données avec un tiers. Vous devez également les informer de des finalités poursuivies ainsi que des mesures de sécurité, d’accès et de conservation qui s’appliqueront.

La première étape de l’installation de vidéosurveillance est d’identifier le ou les finalités poursuivies. Ces derniers peuvent être variés : sécurité des locaux, aide à la prévention et à la détection du vol et d’autres délits, ou protection de la vie et de la santé des employés, en raison de la nature du travail.

Comme pour tout traitement de données personnelles, l’enregistrement des personnes doit avoir une base légale en vertu du RGPD. Le consentement peut fournir une base légale pour ce traitement de données. Cependant, il est peu probable que cela s’applique à l’utilisation de vidéosurveillance dans la plupart des cas, car il sera difficile d’obtenir un consentement libre de toutes les personnes susceptibles d’être enregistrées. La base légale la plus commune pour ce type de traitement des données  personnelles est l’intérêt légitime. Lorsque le traitement est fondé sur un intérêt légitime, vous devrez effectuer un test de « mise en balance » pour déterminer si vos intérêts légitimes l’emportent sur les droits de la personne.

Vous devrez informer les personnes qu’elles sont enregistrées. Cela peut être fait en plaçant des panneaux faciles à lire dans des endroits importants. En outre, un panneau indiquant l’objectif du système de vidéosurveillance ainsi que l’identité et les coordonnées du responsable du traitement des données devrait être placé à toutes les entrées.

Les personnes dont les images sont enregistrées par un système de vidéosurveillance devraient recevoir les renseignements suivants :

• l’identité et les coordonnées du responsable du traitement ;
• les finalités du traitement ;
• la base légale du traitement (s’il s’agit de l’intérêt légitime, les informations spécifiques sur les intérêts légitimes qui se rapportent spécifiquement à ce traitement, et sur l’entité qui poursuit chaque intérêt légitime.) ;
• les coordonnées du délégué à la protection des données (DPD), s’il y en a un ;
• les destinataires, ou catégories de destinataires, des données;
• les mesures de sécurité pour les séquences enregistrées ;
• la durée de conservation des images de vidéosurveillance ;
• l’existence de droits individuels en vertu du RGPD et le droit d’introduire une réclamation auprès de l’autorité nationale de protection des données.

Plus d’informations :

• Traiter les données personnelles de manière licite
• Respecter les droits des personnes
   

Oui. Lors d’un appel téléphonique, vos clients doivent être informés, de l’objectif de l’enregistrement, des destinataires des enregistrements, de leur droit d’opposition et de leur droit d’accès aux enregistrements.

Plus d’informations :

• Traiter les données personnelles de manière licite

La publication des noms des gagnants d’un concours sur votre site web pourrait être considérée comme un intérêt légitime, si vous pouvez le prouver en effectuant un test de « mise en balance » pour déterminer si vos intérêts légitimes l’emportent sur le droit des personnes concernées.

Une bonne pratique consisterait à mettre en place une procédure interne au sein de laquelle les règles relatives à la publication des données personnelles des lauréats sont expliquées.

En outre, le traitement des données personnelles à ces fins devrait faire partie de la politique de confidentialité du concours, de sorte que les participants soient informés à l’avance de la manière dont leurs données seront traitées.

Plus d’informations :

• Traiter les données personnelles de manière licite

Le traitement des données personnelles est autorisé s’il repose sur une base légale. Outre le consentement libre, spécifique, éclairé et univoque, d’autres bases légales pour le traitement peuvent être utilisées.

En d’autres termes, le consentement est nécessaire lorsqu’aucune des autres bases légale ne s’applique.

Plus d’informations :

• Traiter les données personnelles de manière licite

1. Assurez-vous que les données que vous avez reçues ont été collectées légitimement et que les personnes concernées ont été informées du traitement de leurs données personnelles.
2. Dans le cas où un tiers traite des données personnelles en votre nom, assurez-vous de mettre en place un contrat avec le sous-traitant, qui détaille les opérations de traitement et les moyens de traiter les données personnelles.

Et, bien entendu, respectez toutes vos obligations de responsable de traitement.

Plus d’informations :

• Responsable de traitement ou sous-traitant

Non, il n’est pas nécessaire de rendre public votre registre des activités de traitement. Vous devez toutefois être en mesure de mettre le registre à la disposition de l’autorité de protection des données, à sa  demande.

Plus d’informations :

• Se mettre en conformité