Tout organisme, quelle que soit sa taille ou son secteur, établi dans l’Espace économique européen (EEE) ou offrant des produits ou des services à des particuliers dans l’EEE, traitant des données personnelles, de manière automatisée ou non, doit se conformer au RGPD. Même si le RGPD concerne principalement le traitement automatisé de données personnelles, les opérations de traitement effectuées manuellement seront également soumises au RGPD à partir du moment où les fichiers papier sont organisés de manière systématique, par exemple par ordre alphabétique dans un classeur. 

Des exemples d’opérations de traitement comprennent la collecte, l’enregistrement, l’organisation, l’utilisation, la modification, le stockage, la divulgation, la modification et l’effacement de données personnelles.

Néanmoins, les règles applicables du RGPD dépendent de la nature, du contexte, des finalités et des risques des opérations de traitement effectuées. Pour les PME dont l’activité principale n’est pas le traitement de données personnelles, les obligations peuvent être moins strictes que pour une grande entreprise.

Plus d’informations :

• Les bases de la protection des données
   

Oui, vous pouvez, mais le RGPD impose certaines obligations aux entreprises qui partagent des données personnelles. Votre organisme doit informer les personnes que vous partagerez leurs données avec un tiers. Vous devez également les informer de des finalités poursuivies ainsi que des mesures de sécurité, d’accès et de conservation qui s’appliqueront.

La tâche du DPD comprend, entre autres :

• informer et conseiller l’organisme et ses employés sur la conformité à la protection des données ;
• contrôler la conformité à la protection des données;
• fournir des conseils sur les demandes concernant l’analyse d’impact sur la protection des données (AIPD);
• agir en tant que point de contact pour l’autorité de protection des données compétente et coopérer avec elle ;
• agir comme point de contact pour les particuliers.

En outre, la présence du DPD est généralement recommandée lorsque des décisions ayant des implications en matière de protection des données sont prises. Le DPD devrait également être consulté rapidement une fois qu’une violation de données ou un autre incident s’est produit.

Plus d’informations :

• Le délégué à la protection des données

La désignation d’un DPD est obligatoire dans les trois cas suivants :

• l’organisme est une autorité publique ;
• les activités de base de l’organisation consistent en un suivi régulier et systématique des individus à grande échelle, par exemple la géolocalisation via une application mobile, ou la surveillance des centres commerciaux et des espaces publics par le biais de la vidéosurveillance ;
• les activités principales de l’organisme consistent en un traitement à grande échelle de données sensibles ou de données personnelles relatives à des condamnations pénales et à des infractions.

Vous pouvez toujours désigner un DPD sur une base volontaire, même si cela n’est pas légalement requis. Veuillez noter que dans ce cas, vous devez vous conformer à toutes les dispositions du RGPD concernant les missions et la position du délégué à la protection des données dans l’organisme.

Plus d’informations :

• Le délégué à la protection des données

Le RGPD s’applique à l’utilisation de cookies lorsque ceux-ci sont utilisés pour traiter des données personnelles, mais il existe également des règles plus spécifiques pour les cookies, y compris la directive « vie privée et communications électroniques » (ePrivacy).

Le stockage d’un cookie, ou l’accès à un cookie déjà stocké, dans le terminal d’un utilisateur n’est autorisé qu’à condition que l’abonné ou l’utilisateur concerné ait été correctement informé (notamment des finalités du traitement) et ait donné son consentement.

La seule exception concerne les cookies techniquement nécessaires : les organismes n’ont pas besoin de demander le consentement lors de l’utilisation de ces cookies techniquement sur leurs sites web.

Plus d’informations :

• Traiter les données personnelles de manière licite
   

Les cookies sont de petits fichiers stockés sur un appareil, tels qu’un ordinateur, un appareil mobile ou tout autre appareil pouvant stocker des informations. Les cookies servent un certain nombre de fonctions importantes, y compris pour se souvenir des utilisateurs et de leurs interactions précédentes avec un site web. Ils peuvent être utilisés pour garder une trace des articles dans un panier d’achat en ligne ou pour garder une trace des informations lorsque les détails sont insérés dans un formulaire de demande en ligne.

Les cookies d’authentification sont également importants pour identifier les utilisateurs lorsqu’ils se connectent aux services bancaires et autres services en ligne. Les informations stockées dans les cookies peuvent inclure des données personnelles, telles qu’une adresse IP, un nom d’utilisateur, un identifiant unique ou une adresse e-mail.

Le contrat entre le responsable du traitement et le sous-traitant doit stipuler que ce dernier :

• traite les données personnelles uniquement sur instruction du responsable du traitement, y compris en ce qui concerne les transferts de données personnelles vers un pays situé en dehors de l’EEE ;
• veille à ce que les personnes autorisées à traiter les données se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
• assure la sécurité du traitement ;
• ne fasse pas appel à un autre sous-traitant sans l’autorisation écrite spécifique ou générale préalable du responsable du traitement ;
• assiste le responsable du traitement pour l’exécution des obligations du responsable du traitement pour répondre aux demandes d’exercice des droits des personnes ;
• aide le responsable du traitement à sécuriser le traitement, à notifier les violations de données et à effectuer des AIPD;
• au choix du responsable du traitement, supprime ou renvoie toutes les données personnelles au responsable du traitement après la fin de la prestation des services ;
• mette à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations découlant du RGPD;
• permette et contribue aux audits, y compris ceux effectués par le responsable du traitement des données ou un autre auditeur mandaté par le responsable du traitement des données.

En outre, le sous-traitant informe immédiatement le responsable du traitement si, à son avis, des instructions enfreignent le RGPD ou d’autres dispositions de l’UE ou nationales en matière de protection des données.

 Plus d’informations :

• Responsable de traitement ou sous-traitant

Le traitement des données personnelles est autorisé s’il repose sur une base légale. Outre le consentement libre, spécifique, éclairé et univoque, d’autres bases légales pour le traitement peuvent être utilisées.

En d’autres termes, le consentement est nécessaire lorsqu’aucune des autres bases légale ne s’applique.

Plus d’informations :

• Traiter les données personnelles de manière licite

En vertu du RGPD, il existe, en principe, deux principaux moyens de transférer des données personnelles vers un pays non membre de l’EEE ou une organisation internationale. Les transferts peuvent avoir lieu sur la base d’une décision d’adéquation ou, en l’absence d’une telle décision, sur la base de garanties appropriées, y compris des droits et des voies de recours pour les personnes physiques.

Plus d’informations :

• Transferts internationaux

Le RGPD donne aux particuliers le contrôle du traitement de leurs données personnelles. La transparence est donc essentielle. Cela signifie que vous devez informer les personnes dont vous traitez les données concernant sur vos opérations de traitement et les finalités poursuivies. En d’autres termes, vous devez expliquer qui traite leurs données, mais aussi comment et pourquoi. Ce n’est que si l’utilisation des données personnelles est « transparente » pour les personnes concernées qu’elles peuvent évaluer les risques éventuels et prendre des décisions concernant leurs données personnelles.
En vertu du RGPD, vous êtes tenu de partager les informations suivantes avec des particuliers :

• l’identité et les coordonnées du responsable du traitement ;
• les finalités du traitement ;
• la base légale du traitement (si l’intérêt légitime, les informations spécifiques sur quels intérêts légitimes se rapportent au traitement spécifique et sur l’entité qui poursuit chaque intérêt légitime).
• les coordonnées du responsable du traitement ;
• les coordonnées du DPD (s’il existe) ;
• les destinataires ou catégories de destinataires des données ;
• les informations sur les transferts de données personnelles en dehors de l’Espace économique européen (EEE) (dans ce cas : l’existence ou non d’une décision d’adéquation ou d’une référence aux garanties appropriées et la manière dont ces informations peuvent être mises à la disposition des personnes concernées ;
• les catégories de données personnelles traitées, lorsque les données ne sont pas obtenues de la personne concernée.

En outre, le RGPD exige que votre organisme fournisse les informations suivantes pour assurer un traitement équitable et transparent :

• la durée de conservation ou, lorsque cela n’est pas possible, les critères utilisés pour déterminer cette durée ;
• le droit de demander l’accès, l’effacement, la rectification, la restriction, l’opposition et la portabilité des données personnelles;
• le droit d’introduire une réclamation auprès d’une autorité de protection des données ;
• si la base légale du traitement est le consentement : le droit de retirer son consentement à tout moment ;
• dans le cas d’une prise de décision automatisée, des informations pertinentes sur la logique sous-jacente et les conséquences prévues du traitement pour la personne concernée ;
• la source des données personnelles (si vous ne les recevez pas directement de la part de la personne concernée) ;
• si la personne est tenue de fournir les données personnelles (par la loi ou pour former ou exécuter un contrat), ainsi que les conséquences du refus de fournir les données.

Plus d’informations :

• Respecter les droits des individus