Foire aux questions
Quelles sont les missions du délégué à la protection des données (DPD) ?
La tâche du DPD comprend, entre autres :
- informer et conseiller l’organisme et ses employés sur la conformité à la protection des données ;
- contrôler la conformité à la protection des données;
- fournir des conseils sur les demandes concernant l’analyse d’impact sur la protection des données (AIPD);
- agir en tant que point de contact pour l’autorité de protection des données compétente et coopérer avec elle ;
- agir comme point de contact pour les particuliers.
En outre, la présence du DPD est généralement recommandée lorsque des décisions ayant des implications en matière de protection des données sont prises. Le DPD devrait également être consulté rapidement une fois qu’une violation de données ou un autre incident s’est produit.
Plus d’informations :
Mon organisme doit-il se conformer au RGPD ?
Tout organisme, quelle que soit sa taille ou son secteur, établi dans l’Espace économique européen (EEE) ou offrant des produits ou des services à des particuliers dans l’EEE, traitant des données personnelles, de manière automatisée ou non, doit se conformer au RGPD. Même si le RGPD concerne principalement le traitement automatisé de données personnelles, les opérations de traitement effectuées manuellement seront également soumises au RGPD à partir du moment où les fichiers papier sont organisés de manière systématique, par exemple par ordre alphabétique dans un classeur.
Des exemples d’opérations de traitement comprennent la collecte, l’enregistrement, l’organisation, l’utilisation, la modification, le stockage, la divulgation, la modification et l’effacement de données personnelles.
Néanmoins, les règles applicables du RGPD dépendent de la nature, du contexte, des finalités et des risques des opérations de traitement effectuées. Pour les PME dont l’activité principale n’est pas le traitement de données personnelles, les obligations peuvent être moins strictes que pour une grande entreprise.
Plus d’informations :
Dois-je obligatoirement rendre public mon registre des activités de traitement ?
Non, il n’est pas nécessaire de rendre public votre registre des activités de traitement. Vous devez toutefois être en mesure de mettre le registre à la disposition de l’autorité de protection des données, à sa demande.
Plus d’informations :
Puis-je partager une liste de données personnelles avec mes partenaires commerciaux (tiers) ?
Oui, vous pouvez, mais le RGPD impose certaines obligations aux entreprises qui partagent des données personnelles. Votre organisme doit informer les personnes que vous partagerez leurs données avec un tiers. Vous devez également les informer de des finalités poursuivies ainsi que des mesures de sécurité, d’accès et de conservation qui s’appliqueront.
Qu’est-ce qu’une donnée sensible ?
Certains types de données personnelles appartiennent à des catégories particulières de données personnelles, ce qui signifie qu’elles méritent plus de protection : il s’agit des données dites sensibles. Les données sensibles comprennent des données qui révèlent des informations sur un individu
- la santé ;
- l’orientation sexuelle ;
- l’origine raciale ou ethnique ;
- les opinions politiques, les croyances religieuses ou philosophiques ;
- l’appartenance syndicale ;
- les données biométriques et génétiques.
Le traitement des données sensibles d’une personne est généralement interdit, sauf dans des circonstances spécifiques qui justifient son traitement.
Plus d’informations:
Ai-je besoin d’un consentement pour utiliser des cookies sur le site web de mon organisme ?
Le RGPD s’applique à l’utilisation de cookies lorsque ceux-ci sont utilisés pour traiter des données personnelles, mais il existe également des règles plus spécifiques pour les cookies, y compris la directive « vie privée et communications électroniques » (ePrivacy).
Le stockage d’un cookie, ou l’accès à un cookie déjà stocké, dans le terminal d’un utilisateur n’est autorisé qu’à condition que l’abonné ou l’utilisateur concerné ait été correctement informé (notamment des finalités du traitement) et ait donné son consentement.
La seule exception concerne les cookies techniquement nécessaires : les organismes n’ont pas besoin de demander le consentement lors de l’utilisation de ces cookies techniquement sur leurs sites web.
Plus d’informations :
Quelles sont les sanctions si mon organisme ne respecte pas le RGPD ou si mon traitement est en infraction avec le RGPD ?
Le respect du RGPD est contrôlé par les autorités nationales de protection des données. Les autorités de protection des données peuvent mener des enquêtes et imposer des sanctions si nécessaire. Ces autorités disposent d’un certain nombre d’outils, dont des amendes allant jusqu’à 20 millions d’euros, soit 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu), des rappels à l’ordre et des interdictions de traitement temporaires ou permanentes.
Vous trouverez les coordonnées de toutes les autorités de protection des données de l’EEE sur le site web du CEPD : Membres
Plus d’informations :
Qu’est-ce qu’un cookie ?
Les cookies sont de petits fichiers stockés sur un appareil, tels qu’un ordinateur, un appareil mobile ou tout autre appareil pouvant stocker des informations. Les cookies servent un certain nombre de fonctions importantes, y compris pour se souvenir des utilisateurs et de leurs interactions précédentes avec un site web. Ils peuvent être utilisés pour garder une trace des articles dans un panier d’achat en ligne ou pour garder une trace des informations lorsque les détails sont insérés dans un formulaire de demande en ligne.
Les cookies d’authentification sont également importants pour identifier les utilisateurs lorsqu’ils se connectent aux services bancaires et autres services en ligne. Les informations stockées dans les cookies peuvent inclure des données personnelles, telles qu’une adresse IP, un nom d’utilisateur, un identifiant unique ou une adresse e-mail.
Le délégué à la protection des données (DPD) est-il responsable du respect du RGPD ?
Le DPD ne saurait être tenu responsable du non-respect du RGPD. Le respect du RGPD relève de la responsabilité de l’organisme qui a désigné le DPD.
Plus d’informations :
Les sous-traitants doivent-ils également respecter le RGPD ?
Oui, les sous-traitants (c’est-à-dire les personnes physiques ou les organismes qui traitent des données pour le compte d’un responsable du traitement) ont des obligations en vertu du RGPD. Il existe toutefois des différences entre les responsabilités des responsables du traitement et des sous-traitants.
Les sous-traitants doivent respecter les responsabilités énoncées dans un contrat conclu avec le responsable de traitement qui détaille les opérations de traitement des données personnelles et des moyens mis en place. Par exemple, le sous-traitant devra effectuer les opérations de traitement avec les mesures techniques et organisationnelles appropriées, conformément aux instructions du responsable du traitement. Ainsi, le sous-traitant aide le responsable du traitement à se conformer au RGPD.
Plus d’informations :