Foire aux questions

Le RGPD distingue deux rôles principaux : le responsable du traitement et le sous-traitant. Cette distinction est cruciale, car le responsable du traitement porte plus de responsabilités et doit remplir plus d’obligations que le sous-traitant.
Les responsables du traitement et les sous-traitants peuvent être des personnes physiques ou morales, par exemple une PME, une autorité publique, une entreprise, une organisation, un organisme d’État, une association, etc.
Le responsable du traitement détermine les finalités et les moyens d’une opération de traitement. En d’autres termes, le responsable du traitement décide du comment et du pourquoi d’une opération de traitement. Les sous-traitants, quant à eux, traitent des données personnelles pour le compte du responsable du traitement. Le traitement effectué par les sous-traitants doit être régi par un contrat avec le responsable du traitement des données ou par un autre acte juridique.

Exemples de contrôleurs de données :

  • les entreprises qui traitent les données personnelles de leurs clients pour finaliser une vente ;
  • les institutions financières qui traitent les données personnelles de leurs clients ;
  • les associations qui traitent les données de leurs membres ;
  • les écoles ou universités qui traitent les données personnelles des étudiants et des enseignants ;
  • les hôpitaux qui traitent les données personnelles de leurs patients ;
  • les agences gouvernementales qui traitent les données personnelles des citoyens.

Exemples de sous-traitants :

  • une PME embauche un service de comptabilité pour conserver ses livres de comptes : la PME est responsable du traitement des données et le service de comptabilité est un sous-traitant ;
  • une société de gestion de paie traite les données personnelles d’une PME. La société de gestion de paie agira en tant que sous-traitant si elle traite uniquement les données personnelles pour le compte de la PME. La PME détermine les finalités et les moyens du traitement des données et est donc responsable du traitement des données.
  • une PME demande à une société de marketing de collecter des adresses e-mail via des sites web tiers. La société de marketing se confirme aux instructions explicites de la PME et aux fins exclusives de celle-ci. La société de marketing agit comme sous-traitant pour cette collecte de données.
     

Plus d’informations :

Non, il n’est pas nécessaire de rendre public votre registre des activités de traitement. Vous devez toutefois être en mesure de mettre le registre à la disposition de l’autorité de protection des données, à sa  demande.

 

Plus d’informations :

 

Le CEPD publie régulièrement des communiqués de presse, des articles d’actualité, des billets de blog et d’autres contenus sur son site web et ses canaux de médias sociaux (Twitter: @EU_EDPB; LinkedIn: European Data Protection Board) pour informer la communauté de la protection des données et le grand public sur ses travaux.

Le site web du CEPD dispose également de deux flux RSS, auxquels vous pouvez vous abonner pour recevoir des mises à jour automatiques sur les actualités du CEPD et ses dernières publications.

D’une manière générale, chaque organisation doit tenir un registre de ses activités de traitement. Il s’agit d’un inventaire de toutes les opérations de traitement et peut vous aider à déterminer correctement vos responsabilités au regard du RGPD et les risques possibles.
Chacune de ces opérations de traitement doit être décrite dans le registre avec les informations suivantes :

  • la finalité du traitement (par exemple, la fidélité du client) ;
  • les catégories de données traitées (par exemple, pour les bulletins de salaire : nom, prénom, date de naissance, salaire, etc.) ;
  • qui a accès aux données (ou destinataires, par exemple : le service en charge du recrutement, du service informatique, de la direction, ou des prestataires de services, des partenaires commerciaux...) ;
  • Si nécessaire, les informations relatives aux transferts de données personnelles en dehors de l’Espace économique européen (EEE),
  • dans la mesure du possible, la durée de conservation des données (c’est-à-dire la durée pendant laquelle les données sont utiles d’un point de vue opérationnel ou d’archivage).
  • dans la mesure du possible, une description générale des mesures de sécurité.

Le registre des activités de traitement relève de la responsabilité du responsable de votre organisme.
Cet enregistrement doit être mis à la disposition de l’autorité de protection des données du pays de l’EEE où vous exercez vos activités, à leur demande.

Les organisations employant moins de 250 personnes n’ont pas d’obligation à indiquer des activités purement occasionnelles dans leur dossier (par exemple, les données traitées pour des évènements ponctuels tels que l’ouverture d’un magasin).

 

Plus d’informations :

Oui, vous pouvez, mais le RGPD impose certaines obligations aux entreprises qui partagent des données personnelles. Votre organisme doit informer les personnes que vous partagerez leurs données avec un tiers. Vous devez également les informer de des finalités poursuivies ainsi que des mesures de sécurité, d’accès et de conservation qui s’appliqueront.

Les données personnelles désignent toute information relative à une personne identifiée ou identifiable. Une personne identifiable est toute personne qui peut être identifiée directement ou indirectement. Différents éléments d’information qui pourraient conduire, ensemble, à l’identification d’une personne en particulier constituent également des données personnelles.
Voici des exemples de données personnelles :

  • nom et prénom ;
  • une adresse postale ;
  • une adresse courriel ;
  • un numéro de carte d’identité ;
  • les données de localisation ;
  • une adresse IP ;
  • un identifiant de cookie ;
  • les comptes bancaires ;
  • les déclarations fiscales ;
  • les données biométriques (comme les empreintes digitales) ;un numéro de sécurité sociale ;
  • le numéro de passeport ;
  • des résultats d’évaluation ;
  • les notes scolaires ;
  • l’historique de navigation ;
  • un photo d’identité ;
  • le numéro d’immatriculation du véhicule, etc.
     

Plus d’informations:

 

 

Le RGPD s’applique à l’utilisation de cookies lorsque ceux-ci sont utilisés pour traiter des données personnelles, mais il existe également des règles plus spécifiques pour les cookies, y compris la directive « vie privée et communications électroniques » (ePrivacy).

Le stockage d’un cookie, ou l’accès à un cookie déjà stocké, dans le terminal d’un utilisateur n’est autorisé qu’à condition que l’abonné ou l’utilisateur concerné ait été correctement informé (notamment des finalités du traitement) et ait donné son consentement.

La seule exception concerne les cookies techniquement nécessaires : les organismes n’ont pas besoin de demander le consentement lors de l’utilisation de ces cookies techniquement sur leurs sites web.

 

Plus d’informations :

La pseudonymisation consiste à transformer des données personnelles afin qu’elles ne puissent plus être attribuées à une personne spécifique sans l’utilisation d’informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et fassent l’objet de mesures techniques et organisationnelles visant à garantir que les données ne sont pas attribuées à des personnes physiques. Dans la pratique, il peut s’agir de remplacer les données personnelles (nom, prénom, numéro personnel, numéro de téléphone, etc.) par des données d’identification indirecte (alias, numéro séquentiel, etc.) dans un ensemble de données. Les données pseudonymisées sont toujours des données personnelles et sont soumises au RGPD.

Les données anonymisées sont des données qui ont été rendues anonymes, de telle sorte que l’individu n’est pas ou plus identifiable par tout moyen raisonnablement susceptible d’être utilisé. Lorsque l’anonymisation est correctement mise en œuvre, le RGPD ne s’applique plus aux données anonymisées.

 

Plus d’informations :

Le RGPD impose des obligations à tous les organismes qui traitent des données personnelles, qu’il s’agisse de responsables du traitement ou de sous-traitants de données.
En particulier, vous devriez :

  • Demandez-vous si la finalité pour laquelle des données personnelles peuvent être collectées sont justifiées et ne recueillent que les données personnelles nécessaires à la ou aux finalité(s) spécifique(s) envisagée(s) ;
  • Assurer l’exactitude et la mise à jour des données personnelles des personnes physiques et les supprimer lorsqu’elles ne sont plus nécessaires;
  • Respecter les droits des personnes en les informant sur les modalités et les raisons du traitement de leurs données et en leur permettant d’exercer leurs droits;
  • Vérifiez si vous disposez d’une base juridique appropriée pour le traitement des données personnelles. Si vous avez l’intention de vous fier au consentement d’individus, demandez leur consentement avant de traiter leurs données personnelles;
  • Veiller à ce que les données personnelles des personnes soient traitées de manière sécurisée;
  • Tenir un registre des opérations de traitement.

Les sous-traitants devront respecter les responsabilités énoncées dans le contrat sous-traitant, et ils ne doivent pas traiter les données autrement que conformément aux instructions du responsable du traitement.

 

Plus d’informations:

Le RGPD ou le règlement général sur la protection des données crée un ensemble harmonisé de règles applicables à tous les traitements de données personnelles effectués par des organisations (publiques ou privées, quelle que soit leur taille) établies dans l’Espace économique européen (EEE) ou ciblant des personnes physiques dans l’UE. L’objectif principal du RGPD est de veiller à ce que les données personnelles bénéficient du même niveau de protection élevé partout dans l’EEE, d’accroître la sécurité juridique tant pour les personnes physiques que pour les organisations qui traitent des données, et d’offrir un degré élevé de protection aux individus.

Le règlement est entré en vigueur le 24 mai 2016 et s’applique depuis le 25 mai 2018.